آشنایی با حمله تکرار نشست
طبق اعلام وبسایت Bleeping Computer، مشخص شده که 483 عدد از 50 هزار وبسایتی که رتبههای برتر را در Alexa دارند، همه حرکات کاربران را ثبت و ضبط میکنند، از جمله حرکات ماوس و فشردن کلیدهای صفحه کلید. معمولا این اطلاعات به یک داشبورد تحلیلی ارسال میشوند که ممکن است این اطلاعات در آنجا تفسیر شوند تا اطلاعات ورودی کاربران و سایر دادههای حساس آنها را استخراج کنند.
بنابراین حمله تکرار یا اجرای دوباره نشست میتواند نگرانیهای امنیتی جدی هم برای سازمانها و هم کاربران نهایی ایجاد کند، چون هکرها میتوانند تمامی دادههای ورودی را تفسیر کرده و حتی پیش از این که کاربری اطلاعات وارد شده در یک فرم آنلاین را تایید کند، آنها را ثبت و ضبط کنند.
حملات تکرار نشست چیست؟
حملات تکرار نشست که با نام حمله تکرار یا بازبخش هم شناخته میشوند از جمله حملات مخصوص شبکه هستند که با نیات شومی سعی به تکرار یا ایجاد تاخیر در یک عملیات انتقال داده معتبر دارند.
مهاجم میتواند با تفسیر نشست و به سرقت بردن شماره نشست منحصر بهفرد کاربر (که به صورت یک کوکی، URL یا فیلدی از یک فرم ذخیره میشود) این کار را انجام دهد. با انجام این کار هکر میتواند خودش را به جای کاربر مجاز جلوه داده و دسترسی کاملی به هر آنچه کاربر مجاز میتواند در یک وبسایت انجام دهد، پیدا کند.
استفاده از سرویسهای تحلیلی توسط وبسایتها که اطلاعات حساس کاربران را ثبت و به صورت ناامن پردازش میکنند، نگرانیهای عمده ای در رابطه با حریم خصوصی برای کاربران ایجاد کرده و پیامدهای امنیتی مختلفی برای آنها داشته است.
برای مثال گزارشی که توسط محققین دانشگاه Princeton منتشر شد، مشخص کرد که بعضی از این داشبوردهای تحلیلی پسوردهای کاربران، اطلاعات کارتهای اعتباری، شماره تامین اجتماعی، تاریخ تولد و سایر اطلاعاتی را که هکرها میتوانند از آن برای کلاهبرداریهای آنلاین مثل سرقت هویت استفاده کنند، ذخیره میکنند.
اما هکرها چطور شناسه (یا ID) نشست کاربر را سرقت میکنند؟
سرقت شناسه نشست کاربر اولین گام در حمله تکرار نشست است و به آن سشن ربایی یا رباییدن نشست گفته میشود. روشهای مختلفی برای انجام این کار وجود دارد. سشن ربایی شامل بدست آوردن دسترسی به کوکی یک سشن معتبر است که معمولا از طریق بررسی ترافیک شبکه و به کمک حمله مرد میانی انجام میشود. در این نوع حمله، مهاجم ارتباطات بین دو کاربر را ربوده و به نوعی تغییر میدهد. برای این کار از یک نرمافزار میانی استفاده میشود اما دو کاربر تصور میکنند که به صورت مستقیم با هم در ارتباط هستند. همچنین هکر میتواند از طریق حملاتی که در سمت کلاینت انجام میشوند، از یک سشن معتبر سوءاستفاده کند از جمله تروجان، کدهای جاوااسکریپت مخرب، تزریق کد از طریق وبسایت و غیره.
اما کاربران چطور میتوانند از خودشان محافظت کنند و صاحبان وبسایتها برای محافظت از بازدیدکنندگان وبسایتشان قادر به انجام چه کارهایی هستند؟
با توجه به ماهیت و چگونگی انجام حملات تکرار نشست، کاملا مشخص و معقول است که راهکارهای مقابله با این نوع حملات با راهکارهای امنیت اپلیکیشن همپوشانی دارند. بنابراین فایروالهای سنتی، فایروالهای اپلیکیشنهای تحت وب، آنتی ویروس، مسدود کنندههای پاپ آپ و سایر نرمافزارهای ضدجاسوسی میتوانند در کنار هم به پیشگیری از حملات بازپخش نشست کمک کنند.
سایر گزینهها برای مقابله با این خطرات شامل نصب آپدیتها و پچها در اسرع وقت برای پیشگیری از قربانی شدن در برابر چنین حملاتی است. همچنین توصیه میشود که کاربران دائما کوکیهای ذخیره شده و سایر فایلهای موقتی مرورگرها را پاک کنند چون کوکی ربایی هم در سشن ربایی نقش دارد. تاکتیک بسیار مفید بعدی برای پیشگیری از این حملات تنظیم پرچم HTTPOnly برای کوکیها است. این کار از دسترسی کدهای جاوا اسکریپت به کوکیها پیشگیری میکند بنابراین کوکیها در معرض کوکی ربایی قرار نمیگیرند. استفاده از وای فای رایگان هم توصیه نمیشود چون این کار خطر سشن ربایی را به دلیل امنیت پایین چنین شبکههایی افزایش میدهد.
با توجه به این که حملات تکرار نشست میتوانند برای مهاجمین امکان دسترسی به هویت بازدیدکننده یک سایت و اطلاعات عبور وی را فراهم کنند، این حملات میتوانند برای صاحبان وبسایتهایی که هیچ یک از توصیههای امنیتی اشاره شده را به کار نمیبندند، مشکلاتی جدی ایجاد کند.