ما هو قرصنة الجلسة؟
نشرت: 2023-04-27اختطاف الجلسات هو نوع من الهجمات الإلكترونية التي يحتاج مالكو مواقع WordPress إلى معرفتها. المعروف أيضًا باسم اختطاف جلسة TCP ، يجعل قرصنة الجلسة المهاجمين يبدون كمستخدمين مسجلين الدخول بشكل صحيح. يستحوذ المهاجم على جلسة مستخدم من خلال الحصول على معرف الجلسة الخاص به دون معرفة أو إذن صالح للمستخدم. بعد أن سرق المهاجم معرف جلسة المستخدم ، يمكنه التنكر على أنه المستخدم المستهدف. سيتمكن المهاجم من القيام بكل ما يمكن للمستخدم المصرح له القيام به بعد أن يقوم المستخدم المصرح له بتسجيل الدخول إلى نفس النظام.
من أسوأ الأشياء التي يمكن أن يفعلها المتسللون في جلسة الاختراق هو الوصول إلى تطبيق ويب أو عناصر تحكم الخادم بدون مصادقة. عندما يخطف مهاجم جلسة مستخدم ، فلن يحتاج إلى مصادقة نفسه طالما أن الجلسة نشطة. يعتقد التطبيق الذي أنشأ الجلسة أنه المستخدم المصادق عليه الذي اختطف جلسته.
بمعنى آخر ، سيستمتع المخترق بنفس الوصول الذي يتمتع به المستخدم الذي قاموا باختراقه. نظرًا لأن المستخدم الشرعي قام بالفعل بمصادقة جلسته قبل حدوث الهجوم ، فإن الاختطاف الناجح يتيح للمهاجم تجاوز المصادقة تمامًا.
في هذا الدليل ، سنتعمق في تفاصيل اختطاف الجلسة. سنعرض لك بالضبط ما عليك القيام به لمنع حدوث ذلك على موقع WordPress الخاص بك.
ما هي الجلسة بالضبط؟
الجلسة هي ببساطة سلسلة من التفاعلات بين نقاط نهاية الاتصال التي تحدث عبر اتصال HTTP واحد.
بروتوكول نقل النص التشعبي (HTTP) أساسي للويب. إنه ما يسمح لك باستخدام روابط النص التشعبي وتحميل صفحات الويب. HTTP هو أيضًا بروتوكول طبقة تطبيق لتمرير المعلومات بين الأجهزة الموجودة على الشبكة.
السمة الرئيسية لـ HTTP هي أنها "عديمة الحالة". هذا يعني أنه لا يحفظ أي بيانات عن العملاء (مثلك ومتصفحك) الذين يفتحون جلسة مع موقع ويب. كل جلسة جديدة تمامًا. لا يحتفظ HTTP ببيانات حول المستخدمين من جلساتهم السابقة.
التعامل مع حالات انعدام الجنسية
تحتاج تطبيقات الويب مثل WordPress إلى تتبع الحالة بين اتصالات متعددة من نفس المستخدمين ومستخدمين مختلفين. يحتاج إلى تحديد جلسة كل مستخدم ، بمجرد تسجيل الدخول - من المحتمل أن يكون على أكثر من جهاز أو متصفح واحد.
عندما يقوم المستخدم بتسجيل الدخول إلى تطبيق مثل WordPress ، يقوم الخادم بإنشاء جلسة. ستحافظ الجلسة على "حالة" الاتصال للمستخدم من خلال تخزين المعلمات الفريدة له. تظل الجلسات على قيد الحياة على الخادم طوال فترة تسجيل دخول المستخدم إلى التطبيق.
تنتهي الجلسة عندما يقوم المستخدم بتسجيل الخروج من النظام أو بعد فترة محددة مسبقًا من عدم النشاط. عند انتهاء جلسة المستخدم ، يجب على التطبيق حذف بياناته من ذاكرة الخادم.
معرفات الجلسة
معرّفات الجلسات (أو "المفاتيح" أو "الرموز المميزة") هي معرّفات الجلسات الفريدة. عادةً ما تكون سلاسل أبجدية رقمية طويلة وعشوائية يرسلها الخادم والعميل إلى بعضهما البعض. عادةً ما يقوم تطبيق المصادقة بتخزين معرفات الجلسة في عناوين URL أو ملفات تعريف الارتباط أو الحقول المخفية على صفحات الويب.
في حين أن معرفات الجلسات مفيدة للحفاظ على الحالة في نظام عديم الحالة ، إلا أنها تأتي أيضًا مع بعض المخاطر الأمنية المحتملة. على سبيل المثال ، إذا فهمنا الخوارزميات التي تنشئ معرفات الجلسات لتطبيق ويب ، فيمكننا إنشاؤها بأنفسنا. علاوة على ذلك ، إذا كان تطبيق الويب لا يستخدم تشفير SSL لتشفير HTTP كـ HTTPS ، فسيتم إرسال معرفات الجلسة بشكل واضح. على الشبكة العامة ، يمكن لأي شخص التنصت على الاتصالات غير المشفرة وسرقة معرفات الجلسة.
ما مدى دقة عمل اختطاف الجلسة عمليًا؟
الهجوم الناجح لاختطاف الجلسة هو عملية خلسة للغاية. يتم إجراؤها عادةً على شبكات مشغولة للغاية مع الكثير من جلسات الاتصال النشطة.
تستفيد بعض الأشكال الأكثر شيوعًا من اختطاف الجلسة من:
- معرفات رمز الجلسة التي يمكن التنبؤ بها
- استنشاق الجلسة
- اختطاف الجلسة
- البرمجيات الخبيثة لرجل في المتصفح
- عبر موقع البرمجة
- تثبيت الجلسة
دعنا نلقي نظرة على كل من ناقلات التهديد هذه على حدة.
معرفات رمز الجلسة التي يمكن التنبؤ بها
تستخدم الكثير من خوادم الويب خوارزميات مخصصة أو أنماطًا محددة مسبقًا لإنشاء معرفات الجلسة الخاصة بهم. كلما زادت القدرة على التنبؤ بشكل عام برمز مميز للجلسة الفريدة ، كان أضعف.
وكان من الأسهل على المتسلل التنبؤ.
شم الجلسة
يعد استنشاق الجلسات أحد أبسط الطرق التي يستخدمها المتسللون لاختطاف جلسة طبقة التطبيق.
سيستخدم المهاجم أداة شم للحزم ، مثل Wireshark ، أو وكيل مثل OWASP Zed لالتقاط حركة مرور الشبكة. إذا كانت حركة المرور هذه تحتوي على معرفات جلسة غير مشفرة للاتصالات بين العملاء وموقع الويب ، فيمكن سرقة المعرفات. يمكن للقراصنة استخدام معرف صالح أو رمز مميز للحصول بسرعة على وصول غير مصرح به إلى الموقع وحسابات مستخدميه.
جلسة Sidejacki نغ
يمكن للمهاجم استخدام استنشاق الحزمة لاعتراض ملفات تعريف ارتباط الجلسة للمستخدمين أثناء تسجيل الدخول إلى الموقع. إذا لم يتم تشفير صفحات تسجيل الدخول أو تم استخدام تشفير ضعيف ، يمكن لمجرم الإنترنت بسهولة اختطاف جلسات المستخدم بهذه الطريقة.
رجل في المتصفح
في هذا الهجوم ، يتعين على المهاجم في البداية إصابة جهاز الكمبيوتر أو المتصفح الخاص بالضحية ببرامج ضارة.
يمكن لهذه البرامج الضارة تعديل معلومات معاملات المتصفح بشكل غير مرئي وإنشاء معاملات دون علم المستخدم. يتم بدء طلبات المتصفح التالفة بواسطة الجهاز المادي للضحية ، لذلك يُفترض أنها صالحة.
عبر موقع البرمجة
قد يستغل مجرم الإنترنت نقاط ضعف التطبيق أو الخادم لإدخال تعليمات برمجية عشوائية في صفحات الويب الخاصة بالموقع. سيؤدي هذا إلى قيام متصفحات الزوار بتنفيذ هذا الرمز عند تحميل صفحة مخترقة.
عندما لا يتم تعيين HTTP فقط في ملفات تعريف الارتباط للجلسة ، فمن الممكن سرقة مفتاح جلسة من خلال رمز تم حقنه. هذا من شأنه أن يمنح المهاجمين كل ما يحتاجون إليه لاختطاف جلسة المستخدم.
تثبيت الجلسة
يستخدم هذا معرف جلسة صالحًا لم تتم مصادقته بعد. باستخدام تثبيت الجلسة ، سيحاول المهاجم خداع المستخدم للمصادقة باستخدام هذا المعرف المحدد.
بمجرد حدوث المصادقة ، يتمتع المهاجم الآن بحق الوصول الكامل إلى كمبيوتر الضحية.
يستكشف تثبيت الجلسة قيدًا كبيرًا في كيفية إدارة تطبيق الويب لمعرف الجلسة.
ما الذي يخرجه الهاكر من اختطاف الجلسة؟
عندما يخطف أحد المتطفلين جلسة ، يمكنه فعل أي شيء مصرح لمستخدم شرعي بفعله في تلك الجلسة النشطة.
قد يؤدي الاستيلاء على الجلسة الأكثر فاعلية وإتلافًا إلى:
- الحسابات المصرفية المُخترقة
- مشتريات غير مصرح بها عبر الإنترنت
- عرف السرقة
- سرقة البيانات من أنظمة الشركة الداخلية
ليس جيدا! يمكن أن تؤدي جلسة الاختطاف الناجحة للجلسة إلى إحداث الكثير من الضرر.
ما هي بعض الأمثلة على قرصنة الجلسة؟
في خريف عام 2012 ، أعلن باحثان أمنيان يدعى Juliano Rizzo و Thai Duong عن هجوم CRIME ، وهو هجوم يستفيد من تسرب المعلومات ضمن نسبة ضغط طلبات TLS كقناة جانبية. هذا مكنهم من فك تشفير الطلبات التي قدمها العميل إلى الخادم.
في المقابل ، سمح لهم ذلك بالحصول على ملف تعريف ارتباط تسجيل دخول المستخدم واختطاف الجلسة ، وانتحال صفتهم في وجهات عالية القيمة عبر الإنترنت مثل مواقع التجارة الإلكترونية والبنوك.
أظهر هذا العرض التوضيحي كيف يمكن للمتسلل تنفيذ هذا النوع من الهجوم لاستعادة رؤوس طلب HTTP.
تعمل CRIME على فك تشفير ملفات تعريف الارتباط HTTPS التي تم تعيينها بواسطة مواقع الويب لتذكر المستخدمين المصادق عليهم باستخدام القوة الغاشمة. يجبر كود الهجوم متصفح الضحية على إرسال طلبات HTTPS مصممة خصيصًا إلى موقع ويب مستهدف ويحلل التباين في طولها بعد ضغطها لتحديد قيمة ملف تعريف ارتباط جلسة الضحية. هذا ممكن لأن SSL / TLS يستخدم خوارزمية ضغط تسمى DEFLATE ، والتي تزيل السلاسل المكررة ، كما رأينا أعلاه.
لا يمكن لرمز الهجوم قراءة ملف تعريف ارتباط الجلسة المضمن في الطلبات بسبب آليات الأمان في المتصفح. ومع ذلك ، يمكنه التحكم في مسار كل طلب جديد ويمكنه إدراج سلاسل مختلفة فيه في محاولة لمطابقة قيمة ملف تعريف الارتباط.
يمكن أن تكون قيم ملفات تعريف الارتباط للجلسة طويلة جدًا. إنها مكونة من أحرف وأرقام كبيرة وصغيرة.
نتيجة لذلك ، يجب أن يبدأ رمز هجوم CRIME عددًا كبيرًا جدًا من الطلبات لفك تشفيرها ، الأمر الذي قد يستغرق عدة دقائق.
منع اختطاف الجلسة
من المهم أن تتذكر أنه يمكن للمهاجمين سرقة معرّفات الجلسات وإعادة استخدامها (أو قيم ملفات تعريف الارتباط الأخرى الحساسة) عندما يتم إرسالها أو تخزينها بشكل غير آمن. في حين أن الحماية بنسبة 100٪ ليست ضمانًا ، فإن استخدام التشفير يعد دفاعًا رئيسيًا.
عندما يقوم المستخدمون بالمصادقة ، يجب أن تكون SSL وملفات تعريف الارتباط الآمنة إلزامية. وعندما يزور المستخدمون المعتمدون أكثر من صفحة واحدة آمنة ، يجب إجبارهم على استخدام HTTPS.
علاوة على ذلك ، يحتاج مالكو موقع WordPress إلى استخدام المكون الإضافي الأمني iThemes Security Pro WordPress لحماية اختطاف الجلسات. ستعمل ميزة Trusted Devices المضمنة في iThemes Security Pro على مدار 24 ساعة يوميًا ، سبعة أيام في الأسبوع ، للمساعدة في الحفاظ على موقعك آمنًا من هذا الهجوم الخطير. تعرف على كيفية إعداده لمستخدمي موقعك.
فهم ومنع سرقة الجلسة
باستخدام المعلومات الواردة في هذا الدليل ، فأنت تعرف كل ما تحتاجه لحماية موقع WordPress الخاص بك من اختطاف الجلسة:
- تأكد من أن موقعك مشفر بالكامل باستخدام SSL وسيجبر المستخدمين على البقاء في HTTPS.
- قم بتنزيل وتثبيت المكون الإضافي iThemes Security Pro.
من خلال اتخاذ هذه الخطوات البسيطة ، ستحمي موقعك من اختطاف الجلسات.
أفضل مكون إضافي لأمن WordPress لتأمين وحماية WordPress
يعمل WordPress حاليًا على تشغيل أكثر من 40 ٪ من جميع مواقع الويب ، لذلك أصبح هدفًا سهلاً للمتسللين ذوي النوايا الخبيثة. يزيل المكون الإضافي iThemes Security Pro التخمين من أمان WordPress لتسهيل حماية موقع WordPress الخاص بك وحمايته. يشبه الأمر وجود خبير أمان بدوام كامل بين الموظفين الذين يراقبون ويحمون موقع WordPress الخاص بك باستمرار.
دان كناوس هو اختصاصي المحتوى الفني في StellarWP. لقد كان كاتبًا ومدرسًا ومستقلًا يعمل في مصدر مفتوح منذ أواخر التسعينيات ومع WordPress منذ عام 2004.