جدول المحتويات:
التعريف - ماذا يعني اختطاف الجلسة؟
يحدث اختطاف الجلسة عند إرسال رمز مميز لجلسة إلى مستعرض عميل من خادم الويب بعد المصادقة الناجحة لتسجيل دخول العميل. يعمل هجوم اختطاف جلسة العمل عندما يضر الرمز المميز إما بمصادرة أو تخمين ما ستكون عليه جلسة الرمز المميز الأصلية ، وبالتالي الحصول على وصول غير مصرح به إلى خادم الويب. يمكن أن ينتج عن ذلك استنشاق الجلسة ، أو هجمات رجل في الوسط أو هجمات في المتصفح ، أو أحصنة طروادة ، أو حتى تنفيذ أكواد JavaScript الضارة.
يتوخى مطورو الويب خصوصًا اختطاف الجلسات لأن ملفات تعريف الارتباط HTTP التي تُستخدم للحفاظ على جلسة موقع ويب يمكن أن يتم إقلاعها بواسطة مهاجم.
تيكوبيديا تشرح اختطاف الجلسة
في الأيام الأولى ، لم يدعم بروتوكول HTTP ملفات تعريف الارتباط ، وبالتالي لم تحتوي خوادم الويب والمتصفحات على بروتوكول HTTP. بدأ تطور اختطاف الجلسات في عام 2000 عندما تم تنفيذ خوادم HTTP 1.0. تم تعديل وتحديث HTTP 1.1 لدعم ملفات تعريف الارتباط الفائقة التي أدت إلى جعل خوادم الويب ومتصفحات الويب أكثر عرضة للاختطاف.
يمكن لمطوري الويب إدراج تقنيات معينة للمساعدة في تجنب اختطاف مواقع مواقعهم ، بما في ذلك أساليب التشفير واستخدام أرقام عشوائية طويلة لمفاتيح الجلسة. الحلول الأخرى هي تغيير طلبات قيمة ملف تعريف الارتباط وتنفيذ عمليات تجديد الجلسة بعد تسجيلات الدخول. مكّن Firesheep ، وهو امتداد لفايرفوكس ، هجمات اختطاف جلسات المستخدمين العموم من خلال السماح بالوصول إلى ملفات تعريف الارتباط الشخصية. تكون مواقع الشبكات الاجتماعية مثل Twitter و Facebook عرضة أيضًا عندما يضيفها المستخدمون إلى تفضيلاتهم.
