CyberGlossary

Атаки и угрозы

Перехват сессии

Также известно как: TCP-перехват сессии, Перехват cookie

Определение

Атака, при которой злоумышленник захватывает уже аутентифицированную сессию жертвы, похищая или подделывая её идентификатор и действуя как пользователь без его учётных данных.

Перехват сессии направлен на токен, который поддерживает аутентифицированную сессию (обычно cookie или bearer-токен), и переиспользует его на клиенте под контролем злоумышленника. Способы получения — сниффинг в незашифрованных каналах, эксфильтрация через XSS, вредоносное ПО на клиенте, предсказуемые идентификаторы, session fixation, утечки у третьих сторон. После повтора сессии атакующий обходит аутентификацию, в том числе ранее пройденную MFA. Защита: HTTPS повсюду с HSTS, безопасные флаги cookie (Secure, HttpOnly, SameSite), строгие CSP против XSS, короткоживущие ротируемые токены, привязка токенов к устройству (DPoP, Token Binding, Passkey), повторная аутентификация по риску и отслеживание аномалий (IP, отпечаток устройства, ASN).

Примеры

  • XSS-нагрузка крадёт cookie сессии у залогиненного пользователя и отправляет атакующему, который вставляет её в свой браузер и выдаёт себя за жертву.
  • Вредоносное ПО на рабочей станции крадёт OAuth refresh token, обеспечивая устойчивый доступ к SaaS-приложению.

Связанные термины