Oturum Ele Geçirme (Session Hijacking)

ismail.sen0

Oturum Ele Geçirme (Session Hijacking)

İki bilgisayar arasındaki geçerli TCP iletimini ele geçirme saldırısıdır. Çoğu doğrulama (authentication) TCP oturumu başlangıcında olduğundan bu, saldırganın makineye erişmesini sağlar. Saldırganlar kurulmuş TCP oturumlarındaki tüm trafiğini dinleyip kimlik, bilgi hırsızlığı, dolandırıcılığı vb. yaparlar. Saldırgan geçerli oturum ID’sini çalıp sunucuya kendini doğrulatmak için kullanır. Geçersiz oturum IDleri için hesap kilitleme olmadığından, oturum sonlandırma zamanı olmadığından, zayıf oturum ID’si oluşturma algoritmaları ve kısa oturum IDlerinden, TCP/IP kullanan çoğu bilgisayar saldırıya açık olduğundan, güvenliksiz oturum IDleri kullanmaktan, çoğu karşı önlemin şifreleme kullanmadan işe yaramamasından dolayı Oturum Ele Geçirme (Session Hijacking) başarılı olur. [24]

 

1.1.1. Oturum ele geçirme (session hijacking) süreci

Çalma; Saldırgan oturum IDlerini çalmak için farklı teknikler kullanır –Header’a başvuran http kullanmak, Ağ trafiğini dinlemek, Çapraz Site Kodu Çalıştırma (Cross Site Scripting/XSS) saldırılarını kullanmak, İstemciye Trojanlar yollamak-

 

Tahmin Etme; Saldırgan oturum IDlerinin değişken kısımlarını izleyerek oturum IDlerini tahmin etmeye çalışır.

http://www.test.com/view/SX45678912,

http://www.test.com/view/SX45678921,

http://www.test.com/view/SX45678934-.

 

Kaba Kuvvet (Brute Forcing): Saldırgan kaba kuvvet saldırısını kullanarak doğru oturum ID’sini bulana kadar tahmin etmeye çalışır. Başvuran (Referrer) saldırı kullanarak kullanıcı kötücül bir linke tıklaması için yemlenmeye çalışılır.

 

Hedef sunucuya paket enjekte edilmeye başlanır (Command Injection/Enjeksiyon Komutu) à Oturum ele geçirilir (Oturum ID’si öngörüsü) à Kurbanın bağlantısı kopar (Oturum Desenkronizasyonu) à Paketlerin akışı izlenip bölüm (sequence) numarası öngörülür (Monitor/İzleme) à Kurban ve hedef arasına saldırgan geçer (Sniff/Dinleme).

 

Oturum Ele Geçirme (Session Hijacking) Türleri

Aktif Saldırı; Aktif oturum bulunup ele geçirilir.

 

Pasif Saldırı; Oturum ele geçirilir ama tüm trafik gönderilmeden dinlenir, izlenir ve kaydedilir. [25]

 

OSI Modelinde Oturum Ele Geçirme (Session Hijacking):

Ağ Seviyesi Ele Geçirme; TCP ve UDP oturumunda sunucu ve istemci arasındaki iletim boyunca paketler ele geçirilir.

Uygulama Seviyesi Hijacking; Oturum IDleri alınarak HTTP kullanıcı oturumu kontrolü sağlanır.

 

Sızdırma (Spoofing) Ele Geçirme (Hijacking)
Saldırgan var olan aktif oturumu ele geçirmez bunun yerine kurbanın çalınmış bilgilerini kullanarak yeni bir oturum başlatır. Var olan aktif oturumu ele geçirme sürecidir.
Saldırgan erişim sağlamak için başka bir kullanıcı veya makine gibi davranır. Saldırgan bağlantı kurup doğrulama (authentication) yapmak için kullanıcıya güvenir.

Çizelge 2‑5 Sızdırma ve Ele Geçirme Farkı

1.1.2. Uygulama seviyesi oturum ele geçirme

Web sunucuya yetkisiz erişim sağlamak için bir oturum anahtarı (token) çalınır veya geçerli oturum anahtarı tahmin edilir. Bu çeşitli yollarla olabilir:

 

Oturum Dinleme (Session Sniffing)

Saldırgan geçerli oturum anahtarı veya oturum ID’si ele geçirmek için sniffer kullanır. Sonra web sunucusuna yetkisiz erişim sağlamak için geçerli oturum anahtarı kullanılır.

 

Öngörülebilir Oturum Anahtarı (Predictable Session Token)

Saldırganlar zayıf algoritmalar ve bir web sitesi kullanıcısı taklit edilerek üretilmiş oturum IDlerini öngörebilirler. Bir şablonun varlığını belirlemek için değişken oturum IDleri bölümlerini analiz ederler. Analiz elle veya çeşitli kriptanalitik araçlarla yapılabilir. Saldırgan aynı zamanda örnekler alıp değişken sabiti tutmak için eş zamanlı oturum IDleri toplar. Çoğu web sunucusu oturum IDleri üretmek için genel algoritmalar veya önceden tanımlanmış bir şablon kullanır. Saldırgan oturumu ele geçirmek için oturum IDlerinde çıkarımda bulunur veya oturum değerini tahmin eder. Saldırgan birkaç oturum IDsi yakalayıp şablonlarını analiz eder ve öngörüde bulunur.

Şekil 2‑12 Oturum Anahtarı Çalma Metodu

Ortadaki Adam Saldırısı (Man-in-the-middle Attack)

Sistemler arasındaki bağlantılara girip değiştirilen mesajları ele geçirmek için kullanılır. Saldırganlar farklı teknikler kullanıp TCP bağlantısını ikiye ayırırlar: İstemci-Saldırgan Bağlantısı (Client-to-attacker connection), Saldırgan-Sunucu Bağlantısı (Attacker-to-server connection). TCP bağlantı ele geçirildikten sonra bağlantı okunabilir, değiştirilebilir ve sahte veri eklenebilir. HTTP işlemi durumunda istemci ve sunucu arasındaki bağlantı hedef olur.

 

Ortadaki Tarayıcı Saldırısı (Man-in-the-Browser Attack)

Tarayıcı ve güvenlik mekanizmaları veya kütüphaneler arasındaki çağrıları ele geçirmek için Trojan kullanılır. Kurulmuş Trojanla çalışıp tarayıcı ve güvenlik mekanizmaları arasında hareket eder. Ana amaç internet bankacılığı sistemlerinin işlemlerini manipüle ederek finansal düzenbazlığa neden olmaktır.

 

Aşamaları

Önce bilgisayarın yazılımına (işletim sistemi/uygulama) trojan bulaştırılır à Truva atı kötücül kodu kurar (dosya uzantıları) ve tarayıcı yapılandırmasını kaydeder à Kullanıcı tarayıcıyı yeniden başlattıktan sonra dosya uzantılarındaki kötücül kod yüklenir à Dosya uzantıları, web sayfasına her ziyareti bir işleyiciye (handler) kaydeder à Sayfa yüklendiğinde uzantı, URL kullanıp saldırı hedefindeki bilinen sitelerin listesiyle eşleştirir à Kullanıcı web sitesinde güvenli şekilde oturum açar à Özel bir şablon için spesik sayfa yüklemesi belirlendiğinde tuş durumu işleyiciye (button event handler) kaydedip hedef listeyle karşılaştırır à Kullanıcı tuşa bastığında uzantı DOM (Doküman Nesne Modeli/Document Object Model) arayüzünü (interface) kullanıp form alanlarından tüm veriyi alır ve değerleri değiştirir à Tarayıcı sunucuya formu ve değiştirilmiş değerleri gönderir à Sunucu değiştirilmiş değerleri alır ama orijinal olanlarla arasındaki farkı ayırt edemez à Sunucu işlem yaptıktan sonra bir alındı (receipt) oluşturulur à Şimdi tarayıcı değiştirilmiş işlem alındısını alır à Tarayıcı orijinal detaylarla alındıyı gösterir à Kullanıcı ele geçirilme olmaksızın sunucudan alınan orijinal bir işlem olduğunu düşünür.

 

İstemci Taraflı Saldırılar (Client-Side Attacks)

XSS, başka kullanıcıların görüntülediği web sayfalarına istemci taraflı kötücül kodların (scripts) enjekte edilmesini sağlar. Kötücül kod herhangi bir uyarı oluşturmadan bir web sayfasına gömülebilir ama arka planda oturum anahtarlarını yakalayıp saldırgana gönderir. Trojan, tüm oturumları saldırganların makinesi üzerinden göndermek için kullanıcının tarayıcısındaki Vekil Sunucu (Proxy) ayarlarını değiştirebilir.

 

XSS Saldırısı

Elle oluşturulmuş bir link kötücül JavaScript ile kurbana gönderilirse kurban linke tıkladığında JavaScript çalışıp saldırgan tarafından yapılan talimatları yerine getirecektir.

 

Çapraz Site Talep Sahteciliği (Cross-site Request Forgery/CSRF) Saldırısı

Kötücül eylemler yapmak için güvenilir bir siteyle kurbanın aktif oturumundan faydalanılır (exploit).

Şekil 2‑13 Çapraz Site Sahteciliği

 

Tekrarlanan Oturum (Session Replay) Saldırısı

Saldırgan kullanıcı ve sunucu arasındaki iletimi dinleyip kullanıcının doğrulama anahtarını ele geçirir. Bunu yapar yapmaz doğrulama anahtarıyla sunucuya tekrar talep gönderip yetkisiz erişim elde eder.

 

Oturum Bağlama (Session Fixation)

Saldırgan geçerli kullanıcı oturumunu ele geçirir. Saldırı bir kullanıcıyı bilinen bir oturum IDsi ile kendini doğrulatması için yemlemeye çalışır ve sonra da kullanılmış oturum IDsinin bilgisiyle geçerli kullanıcı oturumunu ele geçirir. Saldırgan web uygulaması oturum ID’si sağlamak ve bunu kullanmak için kurbanın tarayıcısını yemlemeye çalışmak zorundadır. Saldırgan sabit SID kullanmak için kullanıcıya izin veren sunucu zafiyetinden faydalanır. Saldırgan kurbandan geçerli bir SID sağlayıp o SID’yi kullanarak kendini doğrulatmak için kurbanı yemler. Birkaç farklı saldırı tekniği vardır: URL değişkenindeki (argument) oturum anahtarı, Gizli bir form alanındaki oturum anahtarı, Bir çerezdeki (cookie) oturum IDsi.

 

Vekil (Proxy) Sunucular Kullanarak Oturum Ele Geçirme

Saldırgan, yasal gibi görünen ama kullanıcıyı onun sunucusuna yönlendiren sahte bir link ile kurbanı yemler. Saldırgan kurbanın adına yasal sunucuya talep gönderip tüm işlem için bir Vekil (Proxy) işlevi görür. Sonra da yasal sunucu ve kullanıcı etkileşimi boyunca oturumların bilgisini ele geçirir.

 

1.1.3. Ağ seviyesi oturum ele geçirme

Uygulama katmanındaki web uygulamaları tarafından kullanılan internet ve iletim (transport) protokollerini ele geçirmeye dayanır. Saldırgan uygulama seviyesi oturumlarına saldırmada kullanılan kritik bilgileri toplar.

  • Blind Hijacking (Gözü Kapalı Ele Geçirme),
  • UDP Hijacking,
  • TCP/IP Hijacking,
  • RST (Reset/Resetleme) Hijacking,
  • MiTM Hijacking: Paket Sniffer,
  • IP Spoofing: Yönlendirilmiş Kaynak Paketleri (Source Routed Packets) içerir.

 

3-Way Handshake (Üç Yönlü El Sıkışma)

Kullanıcı sunucuyla bir bağlantı başlatıp SYN bayrağı (Flag) setiyle sunucuya bir paket gönderir. Sunucu paketi alıp SYN + ACK flag ve sunucu için ISN (Initial Sequence Number/İlk Bölüm Numarası) ile bir paket yollar. Kullanıcı paketin alındığını bildiren ACK flag’i ayarlayıp sequence numarasını bir artırır. Şu an iki makine başarılı şekilde bir oturum kurmuştur.

 

Saldırgan kullanıcının göndereceği ACK numarası ve sonraki sırayı (sequence) görebilirse kullanıcı adresini istismar (spoof) edip sunucuyla iletim başlatabilir.

 

TCP/IP Ele Geçirme

Kurban ve hedef makine arasındaki iletimi ele geçirmek için spoof edilmiş paketler kullanan bir hackleme tekniğidir. Kurban bağlantı kurar sonra da saldırgan sanki kurbanmış gibi hostun makinesiyle haberleşebilir. Saldırgan kurbanla aynı ağda olmalıdır. Hedef ve kurban makineler herhangi bir yerde olabilir.

 

Süreci:

  1. Saldırgan kurbanın bağlantısını dinleyip istismar (spoof) edilmiş paketi öngörülmüş sequence numarasıyla göndermek için kurbanın IP’sini kullanır.
  2. Alıcı spoof edilmiş paketi işlemden geçirir, sequence numarasını arttırır ve kurbanın IP’sine ACK gönderir.
  3. Kurban istismar (spoof) edilmiş paketin farkında değildir bu yüzden alıcı makinenin ACK paketine aldırış etmeyip sıra numarası sayımını (count) kapatır.
  4. Bu yüzden alıcı yanlış sequence numaralı paketleri alır.
  5. Saldırgan kurbanın alıcı makine ile bağlantısını desenkronize duruma sokmaya çalışır.
  6. Saldırgan sıra numaralarını izleyip sürekli olarak kurbanın IP’sinden gelen paketleri istismar eder (spoof).
  7. Kurban bağlanırken saldırgan alıcı makineyle haberleşmeye devam eder.

 

IP Sahteciliği (Spoofing):

Kaynağı Yönlendirilen Paketler (Source Routed Packets)

Güvenilir hostun IP adresi yardımıyla bir bilgisayara yetkisiz erişim sağlama tekniğidir. Saldırgan hostun IP adreslerini istismar (spoof) eder bu yüzden sunucuya oturum kuran sunucu saldırgandan gelen paketleri kabul eder. Oturum kurulduğunda host sunucuya yanıt göndermeden önce saldırgan sahte paketler enjekte eder. Hostun orijinal paketi, sunucu çoktan saldırgan tarafından kullanılan bir sequence numarasıyla paket alırken boşa gider. Saldırganın paketleri host aracılığıyla saldırgan tarafından belirlenmiş hedef IP ile yönlendirilmiş kaynak paketleridir.

 

RST Ele Geçirme

Spoof edilmiş kaynak adresi kullanıp ACK numarasını öngörerek orijinal görünümlü RST paketi enjekte etmedir. Asıl ACK numarası kullanırsa istilacı kurbanın bağlantısını resetleyebilir. Kurban kaynağın reset paketi gönderip bağlantısını resetlediğini düşünür. Colasoft’s Packet Builder gibi paket aracı ya da tcpdump gibi TCP/IP analiz aracı kullanılarak yapılır.

 

Blind Ele Geçirme

Kaynak yönlendirme devre dışı bile olsa saldırgan TCP oturumunda ele geçirilmiş iletimlerin içine kötücül veri veya komutlar enjekte edebilir. Saldırgan veri veya yorumlar gönderebilir ama yanıtı görme erişimi yoktur.

 

MiTM

Paket sniffer istemci ve sunucu arasında bir arayüz olarak kullanılır. ARP Spoofing ARP talebi yayarak (broadcast) hostu kandırıp sahte ARP yanıtlarını göndererek ARP tablolarını değiştirmeyi içerir. Sunucu ve istemci arasındaki paketler iki teknik kullanılarak ele geçiren hostun üstünden yönlendirilir: Forged ICMP (Sahte ICMP): Saldırganın istemci ve sunucuyu kandırmak için kullandığı hata (error) mesajlarını gönderen IP uzantısıdır. ARP İstismarı (spoof).

 

UDP Ele Geçirme

Sunucu yanıt göndermeden önce saldırgan kurbanın UDP talebine sahte sunucu yanıtı gönderir. Saldırgan sunucu yanıtını ele geçirmek için MiTM saldırısını kullanıp kendi sahte yanıtını gönderir.

 

1.1.4. Oturum ele geçirme araçları

Zaproxy

OWASP Zed Attack Proxy (ZAP) web uygulamalarındaki zafiyetleri bulmak için entegre bir penetrasyon testi aracıdır. Vekil (Proxy) ele geçirme, aktif/pasif tarayıcı, kaba kuvvet tarayıcı, örümcek ve bulandırıcı (fuzzer), port tarayıcı, hareketli (dynamic) SSL sertifikaları, API, Beanshell (kod (scripting) dili) entegrasyonu özellikleri vardır.

 

Burp Suite

Tarayıcı ve hedef uygulama arasındaki trafiği inceleyip değiştirmeyi sağlar. Her çeşit içeriği inceler.

 

JHijack

Web uygulama oturumu güvenlik değerlendirmesi için bir Java hijacking aracıdır. Basit bir Java Fuzzer, sayısal oturum hijacking ve değişken dökümü (enumeration) için kullanılır.

 

1.1.5. Oturum ele geçirmeye karşı önlemler

Tespit Etme Yöntemi:

Elle Yapılan (Manual) Yöntem;

Paket Dinleme Yazılımı Kullanma (Normal Telnet Oturumu, ARP Girdisi Zorlama),

 

Otomatik Yöntem;

İzinsiz Giriş Tespit Sistemleri (Intrusion Detection Systems/IDS),

İzinsiz Giriş Önleme Sistemleri (Intrusion Prevention Systems/IPS).

 

Oturum Ele Geçirme Korunma Yolları:

  1. Güvenli iletim kanalı oluşturmak için SSH kullanmak
  2. HTTPS bağlantı üzerinde doğrulama çerezlerini (authentication cookies) geçirmek
  3. Kullanıcının oturum sonlandırması için oturum kapatma işlevselliğini uygulamak
  4. Başarılı oturum açmadan sonra oturum ID’si yaratıp sadece sunucu tarafından oluşturulan oturum IDlerini kabul etmek
  5. İletimdeki verinin şifrelenmiş olduğundan ve geniş kapsamlı savunma (defence-in-depth) mekanizması uyguladığından emin olmak
  6. Oturum anahtarı olarak karakter dizisi (string) veya uzun rastgele rakamlar kullanmak
  7. Farklı hesaplar için farklı kullanıcı adı ve parolalar kullanmak
  8. Çalışanları eğitip uzaktan erişimi en aza indirgemek
  9. Süresi dolduğunda oturumu sonlandıran zaman aşımı (timeout) uygulamak
  10. Sorgu dizisinde oturum IDsi taşımamak
  11. Hublardansa Switchler kullanıp gelen bağlantıyı sınırlandırmak
  12. İstemci taraflı ve sunucu taraflı (server-side) koruma yazılımını etkin yapıp güncel tutmak
  13. Güçlü doğrulama (Kerberos gibi) veya eşler arası VPN kullanmak
  14. Ağ geçidinde (gateway) uygun iç ve dış spoof kuralları yapılandırmak
  15. ARP Önbellek zehirlemesini izlemek için IDS ürünleri veya ARPwatch kullanmak
  16. OpenSSH yazılımında bulunan şifrelenmiş protokoller kullanmak

 

Web Yazılımcıları (Developers) Tarafından İzlenmesi Gereken Adımlar:

  1. Uzun karakter dizileri veya rastgele numaralarla oturum anahtarları yaratmak (geçerli oturum anahtarının tahmin edilmesi zor olmalı)
  2. Session Fixation (Oturum Bağlama) saldırısını önlemek için başarılı oturum açtıktan sonra oturum ID’yi yeniden oluşturmak
  3. Kullanıcı ve web sunucular arasında iletilen oturum anahtarı ve veriyi şifrelemek
  4. Kullanıcı oturumu kapatır kapatmaz oturumu sonlandırmak
  5. Ağda Eavesdropping’i (Gizlice Dinleme) önlemek
  6. Bir çerez veya oturumun hizmet süresini (life span) azaltmak

 

Web Kullanıcıları Tarafından İzlenmesi Gereken Adımlar:

  1. E-postalar veya IMler (anlık mesajlaşma) aracılığıyla alınan linklere tıklamamak
  2. Ağa girişte kötücül içerikleri önlemek için güvenlik duvarları kullanmak
  3. Çerezleri sınırlandırmak için tarayıcı ayarları ve güvenlik duvarı kullanmak
  4. Web sitesinin yetkili kurumlar tarafından onaylandığından emin olmak
  5. Tüm gizli ve kritik işlemlerden sonra geçmiş (history), çevrimdışı içerik ve çerezlerin silindiğinden emin olmak
  6. Gizli ve kritik veri iletirken http’dense güvenli iletim olan https’i tercih etmek
  7. Tarayıcıyı kapatmak yerine oturum kapatma tuşuna tıklayarak tarayıcıdan oturumu kapatmak

 

Sorun Çözüm Notlar
Telnet, rlogin OpenSSH veya SSH Şifrelenmiş veri gönderilip oturum ele geçirilirse, saldırganın doğru şekilde şifrelenmiş veri göndermesi zorlaştırılır.
FTP sFTP Başarılı şekilde ele geçirme ihtimali azaltılır.
HTTP SSL Başarılı şekilde ele geçirme ihtimali azaltılır.
IP IPSec IP iletimleri korunarak ele geçirme önlenir.
Herhangi Uzaktan Bağlantı VPN Uzak bağlantı için PPTP, L2PT, IPSec vb. gibi şifrelenmiş VPN kullanılarak oturum ele geçirme önlenir.
SMB (Sunucu Mesaj Bloğu) SMB İmzası (Signing) SMB protokolünün güvenliği arttırılıp oturum ele geçirme ihtimali azaltılır.
Hub Ağı Switch Ağı ARP Spoofing ve diğer oturum ele geçirme saldırılarının riski azaltılır.

Çizelge 2‑6 Web Kullanıcıları Sorunları ve Çözümler

IPSec: İletim oturumundaki her bir IP paketini doğrulayıp şifreleyerek IP iletimlerini korumak için IETF tarafından geliştirilmiş bir protocol yazılımıdır. Geniş ölçüde özel ağlardaki çevirmeli bağlantı (dial-up connection) aracılığıyla uzaktan kullanıcı erişimi ve VPNlere uygulamak için kullanılır.

 

Faydaları: Ağ seviyesi eş doğrulaması, Veri kaynağı doğrulaması, Veri Bütünlüğü, Veri gizliliği (şifreleme), Tekrarlanan koruma.

Modları:

  • İletim (Transport) Modu: İki bağlı bilgisayarı doğrular (authenticate), Şifrelenmiş veri iletimi seçeneğine sahip, NAT ile uyumlu.
  • Tünel (Tunnel) Modu: İletilen paketleri kapsüller (encapsulate), Şifrelenmiş veri iletimi seçeneğine sahip, NAT ile uyumlu değil.

 

Şekil 2‑14 IP Güvenliği Faydaları

 

Mimarisi:

Şekil 2‑15 IP Güvenliği Mimarisi

 

IPSec doğrulama ve gizlilik için iki farklı güvenlik servisi kullanır:

  • Authentication (Doğrulama) Header (AH) à Göndericinin veri doğrulamasını sağlar.
  • Encapsulation (Kapsülleme) Security Payload (Yük) (ESP) à Göndericinin hem veri doğrulaması hem de şifrelemesini (confidentiality/gizlilik) sağlar.

 

Bileşenleri:

  • IPSec Sürücüsü (Driver)

Paketleri şifrelemek ve şifrelerini çözmek için gerekli olan protokol seviyesi fonksiyonları yapan bir yazılımdır.

 

  • İnternet Anahtar Değişimi (Internet Key Exchange/IKE)

IPSec ve diğer protokoller için güvenlik anahtarları üreten IPSec protokolüdür.

 

  • İnternet Güvenliği Bağlantılı (Association) Anahtar Yönetim Protokolü

İki bilgisayar arasında değiştirilen veriyi şifreleyerek iletmeyi sağlayan yazılımdır.

 

  • Oakley

IPSec veri iletiminde her bir oturum için özellikli bir anahtar, ana anahtar (master key) yaratmada Diffie-Hellman algoritmasını kullanan bir protokoldür.

 

  • IPSec Politika Aracı (Policy Agent)

Aktif Dizinden (Active Directory) IPSec politika ayarlarını alıp yapılandırmayı sistem başlangıcında ayarlayan Windows 2000’in bir servisidir.

 

1.1.6. Oturum ele geçirme saldırılarında sızma testi

Bir oturum konumlandırılır > Oturum ID’si URL içinde kullanılmıyorsa iki makine arasındaki oturum trafiği dinlenir (Wireshark, Capsa Network Analyzer, Windump vb.)/Kullanılıyorsa veya bu işlemden sonra > Oturum şifrelenmişse yarıda bırakılır veya oturum ele geçirme yapmak için Trojanlar kullanılır (Vekil (Proxy) sunucu trojanları)/Oturum şifrelenmemişse > Oturum ID ele geçirilmiyorsa oturum ele geçirmek için otomatik araçlar kullanılır (OWASP Zed Attack Vekil (Proxy), Burp Suite, JHijack vb.)/Oturum ID ele geçiriliyorsa > Oturum ID şifrelenmişse oturum ID şifrelemesi kırılır (URL, HTML, Unicode –evrensel kod-, Base64 veya Hex ile şifrelendiyse)/Şifrelenmemişse veya bu işlemden sonra > Session Fixation (Oturum Bağlama) için Phishing e-postaları kullanılır > Makinelerin biriyle normal bağlantı kurulur > Birkaç oturum IDsi toplanır > Yeni bir oturum ID öngörülür > Yeni oturum ID tekrarlanır (replay) > Bağlantı kurulmuyorsa oturum IDlerine Kaba Kuvvet saldırısı yapılır/Kuruluyorsa ya da bu işlemden sonra > Tüm bulgular dokümante edilir.

 

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir