Перехват сессии
Что такое Перехват сессии?
Перехват сессииАтака, при которой злоумышленник захватывает уже аутентифицированную сессию жертвы, похищая или подделывая её идентификатор и действуя как пользователь без его учётных данных.
Перехват сессии направлен на токен, который поддерживает аутентифицированную сессию (обычно cookie или bearer-токен), и переиспользует его на клиенте под контролем злоумышленника. Способы получения — сниффинг в незашифрованных каналах, эксфильтрация через XSS, вредоносное ПО на клиенте, предсказуемые идентификаторы, session fixation, утечки у третьих сторон. После повтора сессии атакующий обходит аутентификацию, в том числе ранее пройденную MFA. Защита: HTTPS повсюду с HSTS, безопасные флаги cookie (Secure, HttpOnly, SameSite), строгие CSP против XSS, короткоживущие ротируемые токены, привязка токенов к устройству (DPoP, Token Binding, Passkey), повторная аутентификация по риску и отслеживание аномалий (IP, отпечаток устройства, ASN).
● Примеры
- 01
XSS-нагрузка крадёт cookie сессии у залогиненного пользователя и отправляет атакующему, который вставляет её в свой браузер и выдаёт себя за жертву.
- 02
Вредоносное ПО на рабочей станции крадёт OAuth refresh token, обеспечивая устойчивый доступ к SaaS-приложению.
● Частые вопросы
Что такое Перехват сессии?
Атака, при которой злоумышленник захватывает уже аутентифицированную сессию жертвы, похищая или подделывая её идентификатор и действуя как пользователь без его учётных данных. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Перехват сессии?
Атака, при которой злоумышленник захватывает уже аутентифицированную сессию жертвы, похищая или подделывая её идентификатор и действуя как пользователь без его учётных данных.
Как защититься от Перехват сессии?
Защита от Перехват сессии обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Перехват сессии?
Распространённые альтернативные названия: TCP-перехват сессии, Перехват cookie.