Geekflare
Geekflare wird von unserem Publikum unterstützt. Wir können Affiliate-Provisionen durch den Kauf von Links auf dieser Website verdienen.
By Talha Khalid in Sicherheit  |  Zuletzt aktualisiert: 21. Dezember 2022
Teilen:

Was ist Session Hijacking und Möglichkeiten zur Vorbeugung

Was-ist-Session-Hijacking-und-Möglichkeiten-zur-Prävention
Invicti Web Application Security Scanner – die einzige Lösung, die eine automatische Verifizierung von Schwachstellen mit Proof-Based Scanning™ bietet.

Wussten Sie, dass ein Hacker in Ihrem Namen Banküberweisungen oder Online-Einkäufe tätigen kann, ohne Ihre Registrierungsdaten zu stehlen?

Wir verbinden Cookies mit Tracking und störender Online-Werbung, aber sie speichern auch Suchanfragen, sodass wir Websites besuchen können, ohne einen Benutzernamen und ein Passwort einzugeben.

Session-Hijacking

Wenn jedoch jemand den Cookie abfängt, kann dies zu einer Katastrophe führen Cyberangriff Dies wird als Session-Hijacking bezeichnet und kann Ihre sensiblen Daten in die Hände von Angreifern gefährden und großen Schaden anrichten, bevor Sie überhaupt wissen, was passiert ist.

Lassen Sie uns herausfinden, was es ist und wie Sie es verhindern können!

What is Session Hijacking?

Beim Session-Hijacking fängt ein Angreifer eine bestehende Sitzung zwischen einem Benutzer und einem Host, z. B. einem Webserver, ab und übernimmt sie. Telnet Session oder jede andere TCP-basierte Verbindung. Eine Sitzung beginnt, sobald Sie sich bei einer Website oder Anwendung anmelden, z. B. a Social-Networking Webseite.

Was-ist-Session-Hijacking-3

Es wird fortgesetzt, während Sie sich im Konto befinden, Ihr Profil überprüfen oder an einem Thread teilnehmen, und endet, wenn Sie sich vom System abmelden. Aber woher weiß der Webserver, dass jede Anfrage, die Sie stellen, tatsächlich von Ihnen stammt?

Hier kommen Cookies ins Spiel. Nach dem Einloggen übermitteln Sie Ihre Zugangsdaten an den Webserver. Es bestätigt, wer Sie sind, und gibt Ihnen mithilfe eines Cookies, das für die Dauer der Sitzung an Sie angehängt wird, eine Sitzungs-ID. Aus diesem Grund melden Sie sich nicht jedes Mal von einer Anwendung ab, wenn Sie das Profil einer anderen Person besuchen, und der Online-Shop merkt sich, was Sie in Ihren Einkaufswagen gelegt haben, selbst wenn Sie die Seite aktualisieren.

Aber Angreifer können die Sitzung kapern, wenn sie spezielle Sitzungsverwaltungstechniken verwenden oder Ihr Cookie stehlen. Daher kann es dem Webserver vorgaukeln, dass die Anfragen von Ihnen, dem autorisierten Benutzer, stammen.

Das Phänomen des Session-Hijacking wurde in den frühen 2000er Jahren berühmt, ist aber immer noch eine der häufigsten Methoden von Hackern.

Ein aktuelles Beispiel ist die Lapsus$-Gruppe, die dieses Jahr Teil der Most Wanted-Liste des FBI wurde. Es verwendet InfoStealer Maleware-Infektion, um die Sitzung zu entführen.

Ebenso GenesisStore ist ein Laden nur auf Einladung, der von einer gleichnamigen Gruppe betrieben wird, die kompromittierte Cookie-Daten verkauft und mehr als 400,000 Bots auflistet.                                                                            

Session Capture Types

Session Hijacking kann je nach den Wünschen des Täters in zwei Hauptkategorien unterteilt werden.

Aktiv: Bei einem aktiven Angriff übernimmt der Angreifer Ihre Sitzung und damit die Verbindung des legitimen Clients zur Ressource. Abhängig von der Website der Sitzung kann der Hacker Online-Einkäufe tätigen, Passwörter ändern oder Konten wiederherstellen. Ein gängiges Beispiel für einen aktiven Angriff ist ein Brute-Force-Angriff, XSS oder sogar DDoS.

Bild-67
Quelle: OSWAP

Passive Kunden: Bei einem passiven Angriff übernimmt oder verändert der Angreifer die Sitzung nicht. Stattdessen überwachen sie im Stillen den Datenverkehr zwischen Ihrem Gerät und dem Server und sammeln alle sensiblen Informationen. Normalerweise IP-Spoofing und Malware Injektion werden verwendet, um passive Injektionsangriffe auszuführen.

Bild-66
Quelle: OSWAP

How Does Session Hijacking Work?

HTTP ist ein zustandsloses Protokoll, was bedeutet, dass der Server keine Erinnerung an den Betrieb des Clients hat. Jede neue HTTP-Anforderung fällt mit einer neuen Arbeitseinheit zusammen, oder einfacher ausgedrückt, der Server stellt dem Client Seiten bereit, ohne sich an die vorherigen Anforderungen des Clients zu erinnern.

Wenn wir jedoch im Internet surfen, stellen wir fest, dass Anwendungen im Idealfall wissen, wer der Client ist (sogar zu gut!). Dank dieses „Gedächtnisses“ des Servers „ist es möglich, moderne reservierte Bereiche von Websites, Online-Banken, Webmail-Diensten usw. zu erstellen.

Dazu wurde ein Anhang geboren, der ein zustandsloses Protokoll wie HTTP zustandsbehaftet macht: Cookies.

Zustandsbehaftete Sitzungen

Nach der Anmeldung legen Webanwendungen, die die zustandsbehaftete Sitzung verwenden, ein Sitzungscookie ab. Das bedeutet, dass sie sich auf dieses Cookie verlassen, um den Client zu verfolgen. Innerhalb des Cookies wird ein eindeutiger Code gespeichert, der die Wiedererkennung des Kunden ermöglicht, zum Beispiel:

SESSIONID=ACF3D35F216AAEFC

Jeder mit der oben erwähnten eindeutigen Sitzungs-ID oder dem Code wäre der authentifizierte Client für den Server. Wenn ein Angreifer diese Kennung erhalten könnte, wie im Bild unten zu sehen, könnte er die ursprünglich für sein Opfer validierte Sitzung ausnutzen, indem er entweder eine legitime Sitzung ausspioniert oder sogar die Sitzung vollständig übernimmt. Diese Kennung ist normalerweise in die URL, in das verborgene Feld eines Formulars oder in Cookies eingebettet.

Quelle: OSWAP

Staatenlose Sitzungen

Mit der Entwicklung des Internets sind Lösungen entstanden, um den „Speicher“ des Servers ohne die Verwendung von Session-Cookies zu verwalten. In einer Webanwendung, in der Frontend und Backend gut getrennt sind und nur über API kommunizieren, könnte die beste Lösung ein JWT (JSON Web Token) sein, ein signiertes Token, das es dem Frontend ermöglicht, die vom Backend bereitgestellten APIs zu nutzen.

Normalerweise wird das JWT im sessionStorage des Browsers gespeichert, einem Speicherbereich, den der Client aktiv hält, bis der Tab geschlossen wird. Folglich wird beim Öffnen eines neuen Tabs eine neue Sitzung erstellt (im Gegensatz zu dem, was mit Cookies passiert).

Das Stehlen des Identifikationstokens des Clients ermöglicht es Ihnen, die Sitzung des Benutzers zu stehlen und somit einen Session-Hijacking-Angriff durchzuführen. Aber wie kann man dieses Token stehlen?

Derzeit sind die von Hackern am häufigsten verwendeten Methoden:

# 1. Session-Seitenaufbock

Diese Methode verwendet unsichere Netzwerke, um Ihre Sitzungs-ID herauszufinden. Der Angreifer verwendet Sniffing (spezielle Software) und zielt normalerweise auf öffentliche WLANs oder Websites ohne eine SSL-Zertifikat, die für schlechte Sicherheit bekannt sind.

# 2. Sitzungsfixierung 

Das Opfer verwendet die vom Angreifer erstellte Sitzungs-ID. Dies kann mit einem Phishing-Angriff (über einen schädlichen Link) geschehen, der Ihre Sitzungs-ID „repariert“.

# 3. Brute Force

Die zeitaufwändigste und ineffizienteste Methode. Während dieses Angriffs stiehlt der Hacker Ihre Cookies nicht. Stattdessen versucht es jede mögliche Kombination, um Ihre Sitzungs-ID zu erraten.

# 4. XSS oder Cross-Site-Scripting

Ein Hacker nutzt Schwachstellen in Websites oder Anwendungen aus, um bösartigen Code einzuschleusen. Wenn ein Benutzer die Website besucht, wird das Skript aktiviert, stiehlt die Cookies des Benutzers und sendet sie an den Angreifer.

Stateless-Session-Hijacking

# 5. Malware-Injektion

Schädliche Software kann unbefugte Aktionen auf Ihrem Gerät ausführen, um persönliche Informationen zu stehlen. Es wird auch oft verwendet, um Cookies abzufangen und Informationen an einen Angreifer zu senden.

# 6. IP-Spoofing

Ein Cyberkrimineller ändert die Quell-IP-Adresse seines Pakets, damit es so aussieht, als käme es von Ihnen. Aufgrund der gefälschten IP glaubt der Webserver, dass Sie es sind, und die Sitzung wird gekapert.

How to Prevent Session Hijacking?

Die Möglichkeit des Session-Hijacking hängt normalerweise mit der Sicherheit der von Ihnen verwendeten Websites oder Anwendungen zusammen. Es gibt jedoch Maßnahmen, die Sie ergreifen können, um sich zu schützen:

  • Vermeiden Sie öffentliches WLAN, da kostenlose Hotspots ideal für Cyberkriminelle sind. Sie haben normalerweise eine schlechte Sicherheit und können leicht von Hackern gefälscht werden. Ganz zu schweigen davon, dass sie immer voller potenzieller Opfer sind, deren Datenverkehr ständig kompromittiert wird.
  • Jede Website, die kein SSL-Zertifikat verwendet, macht Sie angreifbar, da sie den Datenverkehr nicht verschlüsseln kann. Überprüfen Sie, ob die Website sicher ist, indem Sie nach einem kleinen Vorhängeschloss neben der URL suchen.
Geekflare
  • Installieren Sie ein Anti-Malware-Anwendung um Ihr Gerät zu erkennen und vor Malware und Ratten zu schützen, die persönliche Informationen stehlen können.
  • Vermeiden Sie das Herunterladen von Malware, indem Sie offizielle App-Stores oder Websites zum Herunterladen von Apps verwenden.
  • Wenn Sie eine Nachricht erhalten, in der Sie aufgefordert werden, auf einen unbekannten Link zu klicken, tun Sie es nicht. Dies könnte ein Phishing-Angriff sein, der Ihr Gerät infizieren und persönliche Informationen stehlen kann.

Gegen einen Session-Hijacking-Angriff kann der Nutzer wenig ausrichten. Im Gegenteil, die Anwendung kann jedoch feststellen, dass sich ein anderes Gerät mit derselben Sitzungskennung verbunden hat. Darauf aufbauend können Sie Minderungsstrategien entwickeln wie:

  • Ordnen Sie jeder Sitzung einen technischen Fingerabdruck oder Merkmale des verbundenen Geräts zu, um Änderungen in den registrierten Parametern zu erkennen. Diese Informationen müssen im Cookie (für Stateful Sessions) oder im JWT (für Stateless Sessions) absolut verschlüsselt gespeichert werden.
  • Wenn die Sitzung Cookie-basiert ist, löschen Sie das Cookie mit dem HTTPOnly-Attribut, damit es im Falle eines XSS-Angriffs nicht erreichbar ist.
  • Konfigurieren Sie ein Intrusion Detection System (IDS), Intrusion Prevention System (IPS) oder Netzwerküberwachung Lösung.
  • Einige Dienste führen sekundäre Überprüfungen der Identität des Benutzers durch. Beispielsweise könnte ein Webserver bei jeder Anfrage prüfen, ob die des Benutzers IP-Adresse stimmt mit dem letzten überein, der während dieser Sitzung verwendet wurde. Dies verhindert jedoch nicht Angriffe von jemandem, der dieselbe IP-Adresse verwendet, und könnte für Benutzer frustrierend sein, deren IP-Adresse sich während einer Browsersitzung ändern kann.
  • Alternativ ändern einige Dienste den Cookie-Wert bei jeder einzelnen Anfrage. Dies reduziert das Fenster, in dem ein Angreifer agieren kann, drastisch und erleichtert die Erkennung, ob ein Angriff stattgefunden hat, aber andere technische Probleme verursachen kann.
  • Verwenden Sie für jede Benutzersitzung unterschiedliche Multifaktor-Authentifizierungslösungen (MFA).
  • Halten Sie alle Systeme mit den neuesten Patches und Sicherheitsupdates auf dem neuesten Stand.

FAQ

Wie unterscheidet sich Session-Hijacking von Session-Spoofing?

Beim Session-Hijacking gibt man vor, der Benutzer zu sein, während beim Spoofing der Benutzer ersetzt wird. In den letzten Jahren haben einige Sicherheitsanalysten begonnen, letzteres als eine Art Session-Hijacking zu charakterisieren.

Final Words

Session Hijacking ist eine Methode, mit der ein Hacker mit einem Server kommunizieren kann, der vorgibt, ein echter Benutzer zu sein, indem er das Sitzungstoken oder Cookie verwendet. Die Häufigkeit von Session-Hijacking-Angriffen hat in den letzten Jahren zugenommen; Daher wird es immer wichtiger, solche Angriffe zu verstehen und vorbeugende Maßnahmen zu ergreifen. Mit der Entwicklung der Technologie werden jedoch auch die Angriffe immer ausgefeilter; Daher ist es wichtig, aktive Minderungsstrategien gegen Session-Hijacking zu entwickeln.

Sie könnten auch daran interessiert sein zu wissen, wie viel Ihr Daten sind im Dark Web wertvoll.

Markiert als
Danke an unsere Sponsoren
Weitere großartige Lektüre zum Thema Sicherheit
Treiben Sie Ihr Geschäft an
Einige der Tools und Dienste, die Ihr Unternehmen beim Wachstum unterstützen.
  • Invicti
    Invicti verwendet das Proof-Based Scanning™, um die identifizierten Schwachstellen automatisch zu verifizieren und innerhalb weniger Stunden umsetzbare Ergebnisse zu generieren.
    Versuchen Sie es mit Invicti
  • helle Daten
    Web-Scraping, Wohn-Proxy, Proxy-Manager, Web-Unlocker, Suchmaschinen-Crawler und alles, was Sie zum Sammeln von Webdaten benötigen.
    Versuchen Sie es mit Brightdata
  • Semrush
    Semrush ist eine All-in-One-Lösung für digitales Marketing mit mehr als 50 Tools in den Bereichen SEO, Social Media und Content-Marketing.
    Versuchen Sie es mit Semrush
  • Intruder
    Intruder ist ein Online-Schwachstellenscanner, der Cyber-Sicherheitslücken in Ihrer Infrastruktur findet, um kostspielige Datenschutzverletzungen zu vermeiden.
    MIT DER INTELLIGENTEN SCHADENKALKULATION VON Intruder