Geekflare wird von unserem Publikum unterstützt. Es kann sein, dass wir durch den Kauf von Links auf dieser Seite Affiliate-Provisionen verdienen.
Unter Sicherheit Zuletzt aktualisiert: September 20, 2023
Weitergeben:
Invicti Web Application Security Scanner - die einzige Lösung, die eine automatische Überprüfung von Schwachstellen mit Proof-Based Scanning™ ermöglicht.

Wussten Sie, dass ein Hacker in Ihrem Namen Überweisungen oder Online-Einkäufe tätigen kann, ohne Ihre Registrierungsdaten zu stehlen?

Wir assoziieren Cookies mit Tracking und lästiger Online-Werbung, aber sie speichern auch Suchanfragen und ermöglichen es uns, Websites zu besuchen, ohne einen Benutzernamen und ein Passwort einzugeben.

session-hijacking

Wenn jedoch jemand den Cookie abfängt, kann dies zu einer katastrophalen Situation führen. Cyberangriff Dies wird als Session Hijacking bezeichnet und kann dazu führen, dass Ihre sensiblen Daten in die Hände von Angreifern gelangen, und es kann großen Schaden anrichten, bevor Sie überhaupt wissen, was passiert ist.

Lassen Sie uns herausfinden, was es ist und wie Sie es verhindern können!

Was ist Session Hijacking?

Beim Session Hijacking fängt ein Angreifer eine bestehende Sitzung zwischen einem Benutzer und einem Host, wie z.B. einem Webserver, ab und übernimmt sie, Telnet Sitzung, oder jede andere TCP-basierte Verbindung. Eine Sitzung beginnt, sobald Sie sich bei einer Website oder Anwendung anmelden, z.B. bei einer soziale Vernetzung Website.

Was-ist-Session-Hijacking-3

Sie läuft weiter, während Sie sich im Konto befinden, Ihr Profil prüfen oder an einem Thema teilnehmen, und endet, wenn Sie sich aus dem System abmelden. Aber woher weiß der Webserver, dass jede Anfrage, die Sie stellen, tatsächlich von Ihnen stammt?

An dieser Stelle kommen Cookies ins Spiel. Nachdem Sie sich angemeldet haben, übermitteln Sie dem Webserver Ihre Anmeldedaten. Dieser bestätigt, wer Sie sind, und gibt Ihnen eine Sitzungs-ID mithilfe eines Cookies, das Ihnen für die Dauer der Sitzung zugeordnet wird. Deshalb loggen Sie sich nicht jedes Mal aus einer Anwendung aus, wenn Sie das Profil einer Person besuchen, und deshalb merkt sich der Online-Shop, was Sie in Ihren Einkaufswagen gelegt haben, auch wenn Sie die Seite aktualisieren.

Aber Angreifer können die Sitzung entführen, wenn sie spezielle Techniken zur Sitzungsverwaltung verwenden oder Ihr Cookie stehlen. So kann er dem Webserver vorgaukeln, dass die Anfragen von Ihnen, dem autorisierten Benutzer, stammen.

Das Phänomen des Session-Hijacking wurde in den frühen 2000er Jahren bekannt, ist aber immer noch eine der häufigsten Methoden von Hackern.

Ein aktuelles Beispiel ist die Lapsus$ Gruppeder in diesem Jahr auf die Most Wanted-Liste des FBI gesetzt wurde. Er nutzt die InfoStealer Maleware-Infektion, um die Sitzung zu kapern.

Ähnlich, GenesisStore ist ein von einer gleichnamigen Gruppe betriebener Laden, der kompromittierte Cookie-Daten verkauft und dessen Liste mehr als 400.000 Bots umfasst.                                                                            

Session Capture Typen

Session Hijacking kann in zwei Hauptkategorien unterteilt werden, je nachdem, was der Täter will.

Aktiv: Bei einem aktiven Angriff übernimmt der Angreifer Ihre Sitzung und übernimmt damit die Verbindung des legitimen Kunden zur Ressource. Je nach Standort der Sitzung kann der Hacker Online-Einkäufe tätigen, Passwörter ändern oder Konten wiederherstellen. Ein gängiges Beispiel für einen aktiven Angriff ist ein Brute-Force-Angriff, XSS oder sogar DDoS.

Bild-67
Quelle: OSWAP

Passiv: Bei einem passiven Angriff übernimmt oder verändert der Angreifer die Sitzung nicht. Stattdessen überwacht er unauffällig den Datenverkehr zwischen Ihrem Gerät und dem Server und sammelt alle sensiblen Informationen. Normalerweise sind IP-Spoofing und Malware Injektion werden verwendet, um passive Injektionsangriffe auszuführen.

Bild-66
Quelle: OSWAP

Wie funktioniert Session Hijacking?

HTTP ist ein zustandsloses Protokoll, d.h. der Server hat keine Erinnerung an den Vorgang des Clients. Jede neue HTTP-Anfrage entspricht einer neuen Arbeitseinheit. Einfacher ausgedrückt: Der Server serviert dem Client Seiten, ohne sich an die vorherigen Anfragen des Clients zu erinnern.

Wenn wir jedoch im Internet surfen, stellen wir fest, dass Anwendungen im Idealfall wissen, wer der Kunde ist (sogar zu gut!). Dank dieses "Gedächtnisses" des Servers " ist es möglich, moderne reservierte Bereiche von Websites, Online-Banken, Webmail-Diensten usw. zu schaffen.

Zu diesem Zweck wurde ein Anhängsel geboren, das ein zustandsloses Protokoll wie HTTP zu einem zustandsfähigen Protokoll macht: Cookies.

Stateful-Sitzungen

Webanwendungen, die die zustandsabhängige Sitzung verwenden, legen nach der Anmeldung ein Sitzungscookie ab. Das bedeutet, dass sie sich auf dieses Cookie verlassen, um den Client zu verfolgen. In dem Cookie wird ein eindeutiger Code gespeichert, der beispielsweise die Wiedererkennung des Kunden ermöglicht:

SESSIONID=ACF3D35F216AAEFC

Jeder, der über die oben erwähnte eindeutige Sitzungs-ID oder den Code verfügt, ist der authentifizierte Client für den Server. Wenn ein Angreifer an diese Kennung herankommt, wie in der Abbildung unten zu sehen, kann er die ursprünglich für sein Opfer validierte Sitzung ausnutzen, indem er entweder eine legitime Sitzung ausspäht oder sogar die Sitzung vollständig übernimmt. Diese Kennung ist normalerweise in der URL, in einem versteckten Feld eines Formulars oder in Cookies eingebettet.

Quelle: OSWAP

Zustandslose Sitzungen

Mit der Entwicklung des Webs sind Lösungen entstanden, um das "Gedächtnis" des Servers zu verwalten, ohne Session-Cookies zu verwenden. Bei einer Webanwendung, bei der Frontend und Backend gut voneinander getrennt sind und nur über eine API kommunizieren, könnte die beste Lösung ein JWT (JSON Web Token) sein, ein signiertes Token, das es dem Frontend ermöglicht, die vom Backend bereitgestellten APIs zu nutzen.

Normalerweise wird das JWT im sessionStorage des Browsers gespeichert, einem Speicherbereich, den der Client aktiv hält, bis die Registerkarte geschlossen wird. Folglich wird durch das Öffnen einer neuen Registerkarte eine neue Sitzung erstellt (im Gegensatz zu Cookies).

Wenn Sie das Identifikations-Token des Clients stehlen, können Sie die Sitzung des Benutzers stehlen und so einen Session-Hijacking-Angriff durchführen. Aber wie stiehlt man das Token?

Die derzeit von Hackern am häufigsten verwendeten Methoden sind:

#1. Session Side Jacking

Diese Methode nutzt unsichere Netzwerke, um Ihre Sitzungs-ID herauszufinden. Der Angreifer verwendet Sniffing (spezielle Software) und zielt in der Regel auf öffentliches Wi-Fi oder Websites ohne SSL-Zertifikat, die für ihre mangelnde Sicherheit bekannt sind.

#2. Sitzung Fixierung 

Das Opfer verwendet die vom Angreifer erstellte Sitzungs-ID. Er kann dies mit einem Phishing-Angriff (über einen bösartigen Link) tun, der Ihre Sitzungs-ID "repariert".

#3. Brachiale Gewalt

Die zeitaufwändigste und ineffizienteste Methode. Bei diesem Angriff stiehlt der Hacker nicht Ihre Cookies. Stattdessen versucht er alle möglichen Kombinationen, um Ihre Sitzungs-ID zu erraten.

#4. XSS oder Cross-Site-Scripting

Ein Hacker nutzt Schwachstellen in Websites oder Anwendungen aus, um bösartigen Code einzuschleusen. Wenn ein Benutzer die Website besucht, wird das Skript aktiviert, stiehlt die Cookies des Benutzers und sendet sie an den Angreifer.

stateless-session-hijacking

#5. Malware-Injektion

Bösartige Software kann unbefugte Aktionen auf Ihrem Gerät durchführen, um persönliche Daten zu stehlen. Sie wird auch häufig dazu verwendet, Cookies abzufangen und Informationen an einen Angreifer zu senden.

#6. IP-Spoofing

Ein Cyberkrimineller ändert die Quell-IP-Adresse seines Pakets, um es so aussehen zu lassen, als käme es von Ihnen. Aufgrund der gefälschten IP-Adresse denkt der Webserver, dass Sie es sind, und die Sitzung wird gekapert.

Wie kann man Session Hijacking verhindern?

Die Möglichkeit des Session-Hijacking hängt in der Regel mit der Sicherheit der von Ihnen verwendeten Websites oder Anwendungen zusammen. Es gibt jedoch Maßnahmen, die Sie ergreifen können, um sich zu schützen:

  • Vermeiden Sie öffentliches Wi-Fi, denn kostenlose Hotspots sind ideal für Cyberkriminelle. Sie sind in der Regel schlecht gesichert und können von Hackern leicht gefälscht werden. Ganz zu schweigen davon, dass sie immer voll von potenziellen Opfern sind, deren Datenverkehr ständig kompromittiert wird.
  • Jede Website, die kein SSL-Zertifikat verwendet, macht Sie angreifbar, da sie den Datenverkehr nicht verschlüsseln kann. Prüfen Sie, ob die Website sicher ist, indem Sie auf ein kleines Vorhängeschloss neben der URL achten.
geekflare
  • Installieren Sie eine Anti-Malware-Anwendung um Ihr Gerät zu erkennen und vor Malware und Ratten zu schützen, die persönliche Daten stehlen können.
  • Vermeiden Sie das Herunterladen von Malware, indem Sie offizielle App-Stores oder Websites zum Herunterladen von Apps verwenden.
  • Wenn Sie eine Nachricht erhalten, in der Sie aufgefordert werden, auf einen unbekannten Link zu klicken, sollten Sie dies nicht tun. Es könnte sich um einen Phishing-Angriff handeln, der Ihr Gerät infizieren und persönliche Daten stehlen kann.

Der Benutzer kann wenig gegen einen Session Hijacking-Angriff tun. Im Gegenteil, die Anwendung kann jedoch feststellen, dass sich ein anderes Gerät mit der gleichen Sitzungskennung verbunden hat. Und darauf aufbauend können Sie Strategien zur Eindämmung entwickeln, wie z.B.:

  • Ordnen Sie jeder Sitzung einen technischen Fingerabdruck oder Merkmale des verbundenen Geräts zu, um Änderungen der registrierten Parameter zu erkennen. Diese Informationen müssen in einem Cookie (für zustandsabhängige Sitzungen) oder einem JWT (für zustandslose Sitzungen) gespeichert werden, und zwar absolut verschlüsselt.
  • Wenn die Sitzung auf Cookies basiert, löschen Sie das Cookie mit dem Attribut HTTPOnly, um es im Falle eines XSS-Angriffs unerreichbar zu machen.
  • Konfigurieren Sie ein Intrusion Detection System (IDS), Intrusion Prevention System (IPS), oder Netzwerküberwachung Lösung.
  • Einige Dienste führen sekundäre Überprüfungen der Identität des Benutzers durch. Ein Webserver könnte zum Beispiel bei jeder Anfrage prüfen, ob die Identität des Benutzers IP-Adresse mit der zuletzt in dieser Sitzung verwendeten übereinstimmt. Dies verhindert jedoch keine Angriffe von jemandem, der dieselbe IP-Adresse verwendet, und könnte für Benutzer, deren IP-Adresse sich während einer Browsing-Sitzung ändert, frustrierend sein.
  • Alternativ dazu ändern einige Dienste den Cookie-Wert bei jeder einzelnen Anfrage. Dies reduziert das Zeitfenster, in dem ein Angreifer operieren kann, drastisch und macht es einfacher, einen Angriff zu erkennen, kann aber auch andere technische Probleme verursachen.
  • Verwenden Sie für jede Benutzersitzung unterschiedliche Multifaktor-Authentifizierungslösungen (MFA).
  • Halten Sie alle Systeme mit den neuesten Patches und Sicherheitsupdates auf dem neuesten Stand.

FAQ

Was ist der Unterschied zwischen Session Hijacking und Session Spoofing?

Beim Session Hijacking wird die Identität des Benutzers vorgetäuscht, während beim Spoofing der Benutzer ersetzt wird. In den letzten Jahren haben einige Sicherheitsanalysten damit begonnen, letzteres als eine Art von Session Hijacking zu bezeichnen.

Letzte Worte

Session Hijacking ist eine Methode, mit der ein Hacker mit einem Server kommunizieren kann, indem er vorgibt, ein echter Benutzer zu sein, und dazu das Session Token oder Cookie verwendet. Die Häufigkeit von Session Hijacking-Angriffen hat in den letzten Jahren zugenommen. Daher ist es immer wichtiger geworden, solche Angriffe zu verstehen und Präventivmaßnahmen zu ergreifen. Doch so wie sich die Technologie weiterentwickelt, werden auch die Angriffe immer raffinierter. Deshalb ist es wichtig, aktive Strategien zum Schutz vor Session Hijacking zu entwickeln.

Es könnte Sie auch interessieren, wie viel Ihr Daten im Dark Web wert sind.

  • Talha Khalid
    Autor
Dank an unsere Sponsoren
Weitere gute Lektüre zum Thema Sicherheit
Energie für Ihr Unternehmen
Einige der Tools und Dienste, die Ihr Unternehmen beim Wachstum unterstützen.
  • Invicti nutzt das Proof-Based Scanning™, um die identifizierten Schwachstellen automatisch zu überprüfen und innerhalb weniger Stunden verwertbare Ergebnisse zu erzielen.
    Versuchen Sie Invicti
  • Web Scraping, Residential Proxy, Proxy Manager, Web Unlocker, Search Engine Crawler und alles, was Sie zum Sammeln von Webdaten benötigen.
    Versuchen Sie Brightdata
  • Monday.com ist ein All-in-One-Betriebssystem, mit dem Sie Projekte, Aufgaben, Arbeit, Vertrieb, CRM, Arbeitsabläufe und vieles mehr verwalten können.
    Versuch Montag
  • Intruder ist ein Online-Schwachstellen-Scanner, der Schwachstellen in Ihrer Infrastruktur aufspürt, um kostspielige Datenschutzverletzungen zu vermeiden.
    Versuchen Sie Intruder