Was ist Session-Hijacking?
Manchmal als TCP-Sitzungsentführung bezeichnet, ist Sitzungsentführung ein Vorfall, bei dem ein Dritter eine Webbenutzersitzung übernimmt, indem er den Sitzungsschlüssel erhält und vorgibt, der autorisierte Benutzer dieses Schlüssels zu sein. Sobald der Entführer die Entführung erfolgreich eingeleitet hat, kann er oder sie alle mit dieser ID verbundenen Berechtigungen verwenden, um Aufgaben auszuführen, einschließlich der Verwendung von Informationen oder Ressourcen, die zwischen dem Urheber der Sitzung und den Teilnehmern weitergegeben werden. Entführungen dieser Art können für alle Beteiligten leicht erkennbar oder praktisch nicht nachweisbar sein, je nachdem, welche Maßnahmen der Entführer ergreift.
Der Prozess der Sitzungsentführung konzentriert sich auf die Protokolle, die zum Einrichten einer Benutzersitzung verwendet werden. In der Regel wird die Sitzungs-ID in einem Cookie gespeichert oder in eine URL eingebettet und erfordert eine Art Authentifizierung seitens des Benutzers, um die Sitzung einzuleiten . An diesem Punkt kann der Entführer manchmal Sicherheitsmängel im Netzwerk ausnutzen und diese Informationen erfassen. Sobald die ID identifiziert ist, kann der Entführer jeden Datenaustausch überwachen, der während der Sitzung stattfindet, und diese Daten auf eine von ihm gewünschte Weise verwenden.
Session-Hijacking ist insofern ein Man-in-the-Middle-Angriff, als der Hijacker Informationen abfangen kann, die zum und vom autorisierten Benutzer fließen, indem er sie kopiert oder sogar ändert, bevor sie an den beabsichtigten Empfänger weitergeleitet werden. Diese Art der Entführung bietet die zusätzliche Möglichkeit, in der Sitzung nach anderen Daten zu suchen, die nicht hin- und hergeleitet werden, vorausgesetzt, die Computernetzwerksicherheit erkennt nicht, was als ungewöhnliche Aktivität im Zusammenhang mit dem autorisierten Benutzer erscheint. Aus diesem Grund geht es beim Session-Hijacking nicht immer darum, auf betrügerische Weise proprietäre Informationen zu erhalten. Manchmal ist es einfach, einen Vorgang zu unterbrechen, indem Daten geändert und falsche Informationen an Quellen weitergegeben werden, an denen dies den größten Schaden anrichtet.
Die Suche nach Möglichkeiten, um die Ausnutzung möglicher Schwachstellen im Authentifizierungsprozess zu vermeiden, ist Teil des Prozesses zur Abwehr von Sitzungsentführungen. Zu diesem Zweck verwenden viele Unternehmen mehrschichtige Sicherheitsprotokolle, die den Authentifizierungsprozess während des Vorgangs maskieren. Wie bei den meisten Sicherheitslösungen suchen Hacker ständig nach Möglichkeiten, um diese vorbeugenden Maßnahmen zu umgehen. Daher müssen ständig neue Prozesse entwickelt werden, die Hijacker blockieren, bevor sie im Rahmen einer Unternehmensspionage die Möglichkeit haben, Daten zu stehlen oder zu ändern.