SESSION HIJACKING

Nội Dung Báo CáoTrình bày slide: Lê Tuấn Dương

Lí Thuyết: Trương Quang Khiêm

Demo: Lê Tuấn DươngTrần Xuân HiếnTrương Ngọc Tấn

Phòng Chóng: Sơn Thái Ân

Lý Thuyết

Trương Quang Khiêm

Tài liệu tham khảoSlide bài giảng của thầy .Ebook CEH .Google Search .

Overview

Module Flow

What is Session Hijacking ?“ Đánh cắp session “.

Understanding Session hijacking

( cont )

Ở cấp độ đơn giản nhất, TCP hijacking dựa vào sự xâm phạm các mối quan hệ tin cậy của tương tác giữa 2 hots.

Spoofing Vs Hijacking

A spoofing attack is different from a hijack in that an attacker is not actively taking another user offline to perform the attack. he pretends to be another user or machine to gain access.

(Cont)Với Hijacking, kẻ tấn công lấy lên một

phiên đã tồn tại, nghĩa là dựa vào những người sử dụng hợp pháp để thực hiện một kết nối và xác thực.

Sau đó chiếm lấy các session .

Steps in Session Hijacking

Ví dụ

Alice opens a telnet session to Bob and starts doing some work.1. Eve observes the connection between Alice and Bob using a

sniffer that is integrated into her hijacking tool. Eve makes a note of Alice's IP address and her hijacking software samples the TCP sequence numbers of the connection between Alice and Bob.

Eve launches a DoS attack against Alice to stop Alice doing further work on Bob and to prevent an ACK storm from interfering with her attack.

Eve generates spoofed packets with the correct TCP sequence numbers and connects to Bob.

Bob thinks that he is still connected to Alice. Alice notices a lack of response from Bob and blames it on the

network. Eve finds herself at a root prompt on Bob. She issues some

commands to make a backdoor and uses the sniffer to observe the responses from Bob.

After covering her tracks, Eve logs out of Bob and ceases the DoS attack against Alice.

Alice notices that her connection to Bob has been dropped. Eve uses her backdoor to get directly into Bob.

Types of Session Hijacking

Note Session hijacking can be active or passive in

nature depending on the degree of involvement of the attacker in the attack.

The essential difference between an active and passive hijack is that while an active hijack takes over an existing session, a passive attack monitors an ongoing session.

The 3-Way Handshake

TCP Concepts 3-Way Handshake

Sequence Numbers

Session Hijacking Levels

Network level Hijacking

TCP/IP Hijacking

TCP/IP Hijacking

IP Spoofing :Source Routed Packets

RST Hijacking

Blind Hijacking

Man in the Middle :Packets Sniffer

Dùng ICMP (Internet Control Message Protocol ).

ARP Spoofing .

UDP Hijacking

Ở cấp độ này một hijacker có thể không chỉ hijack 1 session đã có mà còn có thể tạo mới 1 session từ các dữ liệu đánh cắp được.

HTTPHTTP là một giao thức có tính stateless cho nên,

thông tin giữa client (trình duyệt) và server (web server) thường được kết thúc càng nhanh càng tốt và kết nối này sẽ được tắt bỏ sau khi quy trình chuyển gởi thông tin hoàn tất .

Vì vậy, Session ID’s đã được tạo không được kiểm tra còn tồn tại hay không, cho đến khi user bấm vào nút logout, xóa bỏ cookies .

Trừ phi web server kiểm tra xem Session này còn sống hay không sau một khoảng thời gian định sẵn , pingsession của HVA là một ví dụ.

Sự cần thiết của Session ID Bạn đăng nhập thành công nhưng mỗi lần

muốn trả lời một bài nào đó, bạn phải đăng nhập lại, rất bất tiện.

Session ID sinh ra để khắc phục sự bất tiện đó. Với một session ID tạo ra riêng cho một user khi kết nối tới một website nào đó, web server dựa vào session ID để nhận ra user, và chấp nhận cho user này thực hiện các hành động mà user được quyền mà không phải xác nhận lại .

About : CookieCookie được xem là những tin nhắn đơn

giản được máy chủ đang quản lý một website, chủ động gửi đến trình duyệt web đang dùng nhằm mục đích theo dõi các hoạt động của người đang xem website.

Tin nhắn này có định dạng là một chuỗi văn bản đơn giản, nó sẽ được đưa vào thư mục lưu trữ “Temp” của trình duyệt web và trình duyệt web sẽ tự động lưu trữ mọi thông tin cookie vào đĩa cứng.

About : CookieCó nhiều loại cookies, nhưng có 2 loại cần tìm hiểu

là persistent cookies và non-persistent cookies.-Persistent cookies :là loại cookies vẫn tồn tại khi bạn tắt trình duyệt. -Non-Persistent cookies :trình duyệt tắt, cookies hết hiệu lực, và dĩ nhiên session ID cũng đi theo.

Khi bạn chọn remember me, thì non-persistent cookies trở thành Persistent cookies.Non-persistent cookies còn được gọi nôm na là session cookies (cookies theo phiên làm việc) .

Show cookie in FF

Cookie đem lại nhiều lợi ích cho chủ trang web

Đánh vào cảm nhận của người dùng .Biết được một số thông tin về những người

đang truy cập trang web của mình .Dùng cookie để điều chỉnh các quảng cáo,

đề ra các biện pháp điều chỉnh hoặc thiết kế phù hợp.

Đối với các doanh nghiệp cookie có thể đóng một vai trò tương tự như một người bán hàng .

…………

Hijacking HTTPHijacking HTTP session liên quan đến việc

lấy Session ID's , là chỉ có duy nhất định danh của phiên HTTP. Session ID's có thể tìm thấy ở ba địa điểm :

1. Trong URL được nhận bởi các trình duyệt cho những yêu cầu HTTP GET. 2. Với cookie . 3. Trong các form hoặc submit.

Obtaining Session ID’sSniffing (Man in middle attack): Cookie và

URL’s có thể có được từ các gói .Nếu các gói không được mã hóa có thể

cung cấp thông tin đăng nhập của người dùng.

Nếu các gói bị mã hóa : Brute Forcing the Session ID’s .

(Cont)

Cross Site Request Forgery (CSRF) : Ném đá giấu tay .

kĩ thuật tấn công CROSS-SITE SCRIPTING .

Programs that perform Session Hijacking

JuggernautHuntTTY WatcherIP WatcherT-SightHamster.Ferrtet .

Dangers posed by Hijacking

Protecting against Session Hijacking1. Use encryption2. Use a secure protocol3. Limit incoming connections4. Minimize remote access5. Educate the employees6. Have strong authentication 7. IP Security

DEMO

Trương Ngọc TấnTrần Xuân HiếnLê Tuấn Dương

Cain - ferret

Ferret.exe -w

Ferret.exe –i 2

Cookie Editor

add

Wireshark-Cain-Ferret-Hamster

Start

Đăng nhập

Stop

cd C:\sidejacking

ferret.exe –r demo.pcap

hamster.exe

C:\Program Files\Mozilla Firefox

Set MOZ_NO_REEMOTE=1

Firefox.exe -p

hamster

Start firefox

http://hamster/

127.0.0.1 3128

Phòng Chóng

Sơn Thái Ân

Có rất nhiều biện pháp để chống lại việc đánh cắp đường truyền. theo các kiểu đánh cắp đường truyền như các bạn đã biết thì chúng ta sẽ có 2 loại đánh cắp đường tryền đó là: tầng mạng lưới(Network level) tầng ứng dụng(Application level)

Tầng Mạng Lưới (Network Level)

Ở tầng mạng lưới thì cách đối phó chính là bảo vệ gói dữ liệu của bạn. Chiến lược chính để làm lá thiếc phòng chống việc đánh cắp đường truyền là làm cho gói dữ liệu của bạn khó để mà phân tích hơn(mã hóa nó).

Nếu một hacker không thể giải mã gói dữ liệu thì gói dữ liệu đó trở nên vô ích đối với anh ta.

Tầng Mạng Lưới (tt)

Biện pháp đối phó chính trong việc bảo vệ gói dữ liệu của bạn là làm cho gói dữ liệu của bạn khó để phân tích bằng cách hiện thực các giao thức mã hóa trong lúc truyền như là:

IPSec(Internet Protocol Security), SSL(Secure Socket Layer), và SSH(Secure Shell)

Tầng Mạng Lưới (tt)

Với các biện pháp này thì có thể làm cho hacker khó mà xâm nhập gói dữ liệu của chúng ta hơn. Các gói dữ liệu nào mà không có khóa session(của hacker) sẽ bị loại bỏ vì xem như máy nhận không thể giải mã được.

Internet Protocol Security(IPSec)IPSec(Internet Protocol Security) gồm có một

tập hợp các giao thức được phát triển để đảm bảo độ an toàn khi gói dữ liệu được trao đổi ở tầng IP.

Nó có hai kiểu mã hóa đó là: vận chuyển(Transport) và đường hầm(Tunnel)

Internet Protocol Security(IPSec)Trong hai lại mã hóa này thì người ta có xu

hướng sử dụng loại Tunnel nhiều hơn vì Tunnel mã có mã hóa header của gói dữ liệu, còn Transport thì không.

Với việc mã hóa header của gói dữ liệu thì làm cho hacker khó khăn hơn trong việc giải mã chúng trong trường hợp anh ta bắt được gói dữ liệu của chúng ta.

Internet Protocol Security(IPSec)IPSec là một giao thức được dùng nhiều

trong việc bảo vệ sự đánh cắp đường truyền ở mức mạng lưới vì nó liên quan tới mã hóa thông tin gói dữ liệu.

Secure Socket Layer(SSL)SSL bảo vệ các dữ liệu cá nhân trên web mà

được gửi thông qua sự kết nối SSL. Hầu hết các trình duyệt web hiện đều có hỗ

trợ SSL. Theo quy ước những URL mà yêu cầu sự kết

nối SSL thì phải bắt đầu vưới https thay vì là http.

Secure Socket Layer(SSL)SSL thường được sử dụng trong mức độ ứng

dụng hơn vì nó mã hóa dữ liệu được gủi thông qua HTTP session.

Secure Shell (SSH)Một kỹ thuật phổ biến mà hacker dùng để

đánh cấp đường truyền là giả mạo địa chỉ IP(IP Spoofing) và định tuyến địa chỉ IP nguồn(IP source routing).

SSH được dùng để chúng lại các kỹ thuật trên.

Tầng ứng dụng (Application Level)

Ở tầng ứng dụng thì việc đánh cắp đường truyền chủ yếu tập trung vào session id.

Bằng cách nào đó hacker có thể lấy được quyền kiểm soát của một session đang tồn tại, hoặc tạo một session hợp lệ.

Do đó để chống lại việc đánh cắp đường truyền thông qua tầng ứng dụng thì chúng ta tập trung vào việc bảo vệ session id.

Các phương pháp làm tăng độ mạnh của một session idTăng độ dài của cookie hoặc của session id

Độ dài của session id phải dài hợp lý để mà hacker khó có thể dùng các phương pháp quét để tìm id hợp lệ, dẫn đến khó tìm được chính xác session id cần tìm trước khi session đó kết thúc.

Các phương pháp làm tăng độ mạnh của một session id(tt)Sử dụng session id do server cấp:

Thay vì cho chính ứng dụng web của bạn tự tạo session id thì bạn sử dụng ứng dụng server cung cấp một session id.

Sử dụng session id đã được mã hóa:Đây là một trong những cách khá hay để bảo vệ session id trong việc bị đánh cắp.

Các phương pháp làm tăng độ mạnh của một session id(tt)Đảm bảo tính toàn vẹn của session id:

Thêm mã chứng thực cho session id để đảm bảo tính toàn vẹn của session id đó. Qua đó thì hacker sẽ khó mà thao tác trên cookie hay là session id.

Tổng kếtMặc dù chúng ta đã sử dụng nhiều biện pháp

để chống lại sự đánh cắp trên đường truyền, nhưng nó vẫn chưa hoàn toàn ngăn chặn được viếc đánh cắp đường truyền.

Tốt nhất là bạn phải kiểm tra và theo dõi thường xuyên mạng lưới và ứng dụng web của bạn thường xuyên