Session hijacking (original) (raw)
استغلال الجلسة هو سرقة المعلومات أو استفادة الخدمات المتاحة في نظام حاسوبي في أثناء جلسة تبادل المعلومات بين النظام والمستخدم. على وجه الخصوص، يتم استخدامه للإشارة إلى سرقة ملف تعريف ارتباط سحري يستخدم لإدخال مستخدم إلى ملقم بعيد. وله أهمية خاصة لمطوري الويب، حيث أن ملفات تعريف الارتباط المستخدمة للحفاظ على جلسة في العديد من مواقع الويب يمكن أن تسرق بسهولة من قبل مهاجم باستخدام جهاز كمبيوتر وسيط أو مع إمكانية الوصول إلى ملفات تعريف الارتباط المحفوظة على كمبيوتر الضحية.
| Property | Value |
|---|---|
| dbo:abstract | استغلال الجلسة هو سرقة المعلومات أو استفادة الخدمات المتاحة في نظام حاسوبي في أثناء جلسة تبادل المعلومات بين النظام والمستخدم. على وجه الخصوص، يتم استخدامه للإشارة إلى سرقة ملف تعريف ارتباط سحري يستخدم لإدخال مستخدم إلى ملقم بعيد. وله أهمية خاصة لمطوري الويب، حيث أن ملفات تعريف الارتباط المستخدمة للحفاظ على جلسة في العديد من مواقع الويب يمكن أن تسرق بسهولة من قبل مهاجم باستخدام جهاز كمبيوتر وسيط أو مع إمكانية الوصول إلى ملفات تعريف الارتباط المحفوظة على كمبيوتر الضحية. (ar) Únos spojení (anglicky session hijacking nebo cookie hijacking) je v informatice označení počítačového útoku, který zneužívá HTTP cookie odcizené oběti útoku pro získání neoprávněného přístupu k informacím nebo službám poskytovaným webovým serverem. (cs) Session Hijacking (englisch für etwa „Entführung einer Kommunikationssitzung“) ist ein Angriff auf eine verbindungsbehaftete Datenkommunikation zwischen zwei Computern. Während die Teilnehmer einer verbindungslosen Kommunikation Nachrichten ohne definierten Bezug zueinander austauschen, wird bei einer verbindungsbehafteten Kommunikation zunächst eine logische Verbindung (Sitzung, engl. session) aufgebaut. Authentifiziert sich einer der Kommunikationspartner gegenüber dem anderen innerhalb der Sitzung, stellt diese eine Vertrauensstellung dar. Ziel des Angreifers ist es, durch die „Entführung“ dieser Sitzung die Vertrauensstellung auszunutzen, um dieselben Privilegien wie der rechtmäßig authentifizierte Benutzer zu erlangen. Da die Kommunikation über Computernetzwerke in Schichten unterteilt ist, kann dieser Angriff auf jeder Schicht, die eine verbindungsbehaftete Kommunikation vorsieht, ausgeführt werden. Session Hijacking ähnelt dem Spoofing-Angriff, allerdings stehen dem Angreifer zu dem Zeitpunkt schon alle notwendigen Informationen zur Verfügung. (de) En informática, el secuestro de sesión, a veces también conocido como secuestro de cookie es la explotación de una sesión de ordenador válida—a veces también llamado una llave de sesión—para obtener acceso no autorizado a información o servicios en un sistema computacional. En particular, suele referirse al robo de una cookie mágica utilizada para autenticar un usuario a un servidor remoto. Es particularmente relevante para desarrolladores web, ya que las cookies de HTTP utilizadas para mantener una sesión en muchos sitios web pueden ser fácilmente robadas por un atacante utilizando un ordenador de intermediario o al acceder a cookies guardadas en el ordenador de la víctima (ver robo de cookie de HTTP). Un método popular utiliza paquetes IP enrutados por origen. Esto permite a un atacante en un punto B de la red que participe en una conversación entre A y C al empujar que los paquetes IP pasen a través de la máquina B. Si el encaminamiento basado en origen no es factible, el atacante puede utilizar secuestro "ciego", por el cual adivina las respuestas de las dos máquinas. Así, el atacante puede enviar una orden, pero nunca puede ver la respuesta. Aun así, una orden común sería poner una contraseña que permita el acceso desde algún lugar más en la red. Un atacante también puede estar entre ("inline") A y C utilizando un programa de captura para mirar la conversación. Esto es conocido como "ataque de intermediario". (es) In computer science, session hijacking, sometimes also known as cookie hijacking, is the exploitation of a valid computer session—sometimes also called a session key—to gain unauthorized access to information or services in a computer system. In particular, it is used to refer to the theft of a magic cookie used to authenticate a user to a remote server. It has particular relevance to web developers, as the HTTP cookies used to maintain a session on many websites can be easily stolen by an attacker using an intermediary computer or with access to the saved cookies on the victim's computer (see HTTP cookie theft). After successfully stealing appropriate session cookies an adversary might use the Pass the Cookie technique to perform session hijacking. Cookie hijacking is commonly used against client authentication on the internet. Modern web browsers use cookie protection mechanisms to protect the web from being attacked. A popular method is using source-routed IP packets. This allows an attacker at point B on the network to participate in a conversation between A and C by encouraging the IP packets to pass through B's machine. If source-routing is turned off, the attacker can use "blind" hijacking, whereby it guesses the responses of the two machines. Thus, the attacker can send a command, but can never see the response. However, a common command would be to set a password allowing access from elsewhere on the net. An attacker can also be "inline" between A and C using a sniffing program to watch the conversation. This is known as a "man-in-the-middle attack". (en) セッションハイジャックとは、コンピュータネットワーク通信におけるセッション(特定利用者間で行われる一連の通信群)を、通信当事者以外が乗っ取る攻撃手法である。HTTPにおけるWebセッションのハイジャックを指すことが多いが、この用語が示す範囲は必ずしもこれに限定されるわけではない。 (ja) 세션 하이재킹은 시스템에 접근할 적법한 사용자 아이디와 패스워드를 모를 경우 공격 대상이 이미 시스템에 접속되어 세션이 연결되어 있는 상태를 가로채기 하는 공격으로 아이디와 패스워드를 몰라도 시스템에 접근하여 자원이나 데이터를 사용할 수 있는 공격이다. (ko) Session hijacking of sessiehijacking is een vorm van hacking waarbij de van een ander overgenomen wordt. Een sessie begint meestal met een waarbij gegevens ter authenticatie uitgewisseld worden. Het achterhalen van deze gegevens kan toegang geven tot de account van de legitieme gebruiker. In webtechnologie worden de sessiegegevens (de session key) opgeslagen in een cookie op de client. De inhoud van cookies kan op verschillende manieren gestolen worden. Het hijacken van een TCP-sessie kan ook. Bijvoorbeeld als de hacker een machine beheerst op de van de netwerkverbinding. Door het gebruik van een sniffer kan een man-in-the-middle-aanval uitgevoerd worden. (nl) Il termine dirottamento di sessione (session hijacking) si riferisce allo sfruttamento di una normale sessione di lavoro per raggiungere un accesso non autorizzato alle informazioni o ai servizi di un computer. In particolare, si tratta di un furto dei cookie usati per autenticare un utente su un sistema remoto. (it) Session hijacking (przechwytywanie sesji) – wszystkie ataki, w których włamywacz próbuje uzyskać dostęp do istniejącej sesji użytkownika, tzn. takich gdzie identyfikator został już wcześniej przydzielony. Polegają na uzyskiwaniu nieuprawnionego dostępu do systemów komputerowych na skutek przechwycenia sesji legalnego użytkownika. Opiera się na przesyłaniu w sesji np. adresu IP komputera wraz z nazwą przeglądarki, spod których została ona utworzona, a następnie porównywać je przy kolejnych wizytach z danymi dostarczonymi przez serwer. (pl) Em ciência da computação, session hijacking (em português, sequestro de sessão, algumas vezes também conhecido como sequestro de cookie) é a exploração de uma sessão de computador válida, às vezes também chamada de uma chave de sessão - para obter acesso não autorizado a informações ou serviços em um sistema de computador. Particularmente, é utilizado para se referir ao roubo de um cookie mágico utilizado para autenticar um usuário em um servidor remoto. Ele tem particular relevância para os desenvolvedores web, quando os cookies HTTP usados para manter uma sessão em vários sites web podem ser facilmente roubados por um atacante (cracker) usando um computador intermediário ou com acesso aos cookies guardados no computador da vítima. Um método popular é usar pacotes IP de origem roteada. Isso permite que um cracker no ponto A na rede participe de uma conversa entre B e C, incentivando os pacotes IP a passarem pela sua máquina. Se o roteamento de origem for desligado, o cracker pode usar o sequestro "cego", pelo que adivinha as respostas das duas máquinas. Assim, o cracker pode enviar um comando, mas nunca pode ver a resposta. No entanto, um comando comum seria a definição de uma senha que permite o acesso de qualquer outro lugar na rede. Um cracker também pode estar in-line entre B e C, usando um programa de sniffing para observar a conversa. Isto é conhecido como um ataque man-in-the-middle. (pt) 会话劫持(英語:Session hijacking),是一种网络攻击手段,黑客可以通过破坏已建立的数据流而实现劫持。 (zh) TCP Hijacking — Разновидность атаки «Человек посередине», когда атакующий способен просматривать пакеты участников сети и посылать свои собственные пакеты в сеть. Атака использует особенности установления соединения в протоколе TCP, и может осуществляться как во время «тройного рукопожатия», так и при установленном соединении. Проблема возможной подмены TCP-сообщения важна, так как анализ протоколов FTP и TELNET, реализованных на базе протокола TCP, показал, что проблема идентификации FTP и TELNET-пакетов целиком возлагается данными протоколами на транспортный уровень, то есть на TCP. (ru) TCP Hijacking — Різновид атаки «Людина посередині», коли атакуючий здатний переглядати пакети учасників мережі та посилати свої власні пакети в мережу. Атака використовує особливості встановлення з'єднання в протоколі TCP, і може здійснюватися як під час «потрійного рукостискання», так і під час з'єднання. Проблема можливої підміни TCP-повідомлення важлива, оскільки аналіз протоколів FTP і TELNET, реалізованих на базі протоколу TCP, показав, що проблема ідентифікації FTP і TELNET-пакетів цілком покладається даними протоколами на транспортний рівень, тобто на TCP. (uk) |
| dbo:wikiPageExternalLink | https://wunderwuzzi23.github.io/blog/passthecookie.html |
| dbo:wikiPageID | 4456726 (xsd:integer) |
| dbo:wikiPageLength | 12772 (xsd:nonNegativeInteger) |
| dbo:wikiPageRevisionID | 1119962090 (xsd:integer) |
| dbo:wikiPageWikiLink | dbr:Encryption dbr:Wireless_access_point dbr:Google_Play dbr:Mozilla_Firefox dbr:Cross-site_request_forgery dbr:Cross-site_scripting dbr:Computer_science dbr:Hotspot_(Wi-Fi) dbr:Potentially_unwanted_program dbr:Transport_Layer_Security dbr:Http_cookie dbr:Twitter dbr:Web_server dbr:WhatsApp dbr:Wi-Fi dbr:Wireshark dbr:Source_routing dbr:Dynamic_IP dbr:Facebook dbr:Magic_cookie dbr:Web_developer dbr:Session_fixation dbr:HTTP_Secure dbr:HTTP_cookie dbc:Web_security_exploits dbr:ArpON dbr:Browser_hijacking dbr:Authenticate dbr:Radboud_University_Nijmegen dbr:Secure_Sockets_Layer dbr:XMPP dbr:Man-in-the-middle_attack dbr:Session_(computer_science) dbr:Firesheep dbr:Malware dbr:Session_key dbr:TCP_sequence_prediction_attack dbr:Packet_sniffing dbr:Logging_(computer_security) |
| dbp:wikiPageUsesTemplate | dbt:Refimprove_section dbt:Reflist dbt:Short_description |
| dct:subject | dbc:Web_security_exploits |
| gold:hypernym | dbr:Exploitation |
| rdf:type | yago:WikicatComputerSecurityExploits yago:WikicatWebSecurityExploits yago:Abstraction100002137 yago:Accomplishment100035189 yago:Act100030358 yago:Action100037396 yago:Event100029378 yago:Feat100036762 yago:PsychologicalFeature100023100 yago:YagoPermanentlyLocatedEntity dbo:Film |
| rdfs:comment | استغلال الجلسة هو سرقة المعلومات أو استفادة الخدمات المتاحة في نظام حاسوبي في أثناء جلسة تبادل المعلومات بين النظام والمستخدم. على وجه الخصوص، يتم استخدامه للإشارة إلى سرقة ملف تعريف ارتباط سحري يستخدم لإدخال مستخدم إلى ملقم بعيد. وله أهمية خاصة لمطوري الويب، حيث أن ملفات تعريف الارتباط المستخدمة للحفاظ على جلسة في العديد من مواقع الويب يمكن أن تسرق بسهولة من قبل مهاجم باستخدام جهاز كمبيوتر وسيط أو مع إمكانية الوصول إلى ملفات تعريف الارتباط المحفوظة على كمبيوتر الضحية. (ar) Únos spojení (anglicky session hijacking nebo cookie hijacking) je v informatice označení počítačového útoku, který zneužívá HTTP cookie odcizené oběti útoku pro získání neoprávněného přístupu k informacím nebo službám poskytovaným webovým serverem. (cs) セッションハイジャックとは、コンピュータネットワーク通信におけるセッション(特定利用者間で行われる一連の通信群)を、通信当事者以外が乗っ取る攻撃手法である。HTTPにおけるWebセッションのハイジャックを指すことが多いが、この用語が示す範囲は必ずしもこれに限定されるわけではない。 (ja) 세션 하이재킹은 시스템에 접근할 적법한 사용자 아이디와 패스워드를 모를 경우 공격 대상이 이미 시스템에 접속되어 세션이 연결되어 있는 상태를 가로채기 하는 공격으로 아이디와 패스워드를 몰라도 시스템에 접근하여 자원이나 데이터를 사용할 수 있는 공격이다. (ko) Il termine dirottamento di sessione (session hijacking) si riferisce allo sfruttamento di una normale sessione di lavoro per raggiungere un accesso non autorizzato alle informazioni o ai servizi di un computer. In particolare, si tratta di un furto dei cookie usati per autenticare un utente su un sistema remoto. (it) Session hijacking (przechwytywanie sesji) – wszystkie ataki, w których włamywacz próbuje uzyskać dostęp do istniejącej sesji użytkownika, tzn. takich gdzie identyfikator został już wcześniej przydzielony. Polegają na uzyskiwaniu nieuprawnionego dostępu do systemów komputerowych na skutek przechwycenia sesji legalnego użytkownika. Opiera się na przesyłaniu w sesji np. adresu IP komputera wraz z nazwą przeglądarki, spod których została ona utworzona, a następnie porównywać je przy kolejnych wizytach z danymi dostarczonymi przez serwer. (pl) 会话劫持(英語:Session hijacking),是一种网络攻击手段,黑客可以通过破坏已建立的数据流而实现劫持。 (zh) TCP Hijacking — Разновидность атаки «Человек посередине», когда атакующий способен просматривать пакеты участников сети и посылать свои собственные пакеты в сеть. Атака использует особенности установления соединения в протоколе TCP, и может осуществляться как во время «тройного рукопожатия», так и при установленном соединении. Проблема возможной подмены TCP-сообщения важна, так как анализ протоколов FTP и TELNET, реализованных на базе протокола TCP, показал, что проблема идентификации FTP и TELNET-пакетов целиком возлагается данными протоколами на транспортный уровень, то есть на TCP. (ru) TCP Hijacking — Різновид атаки «Людина посередині», коли атакуючий здатний переглядати пакети учасників мережі та посилати свої власні пакети в мережу. Атака використовує особливості встановлення з'єднання в протоколі TCP, і може здійснюватися як під час «потрійного рукостискання», так і під час з'єднання. Проблема можливої підміни TCP-повідомлення важлива, оскільки аналіз протоколів FTP і TELNET, реалізованих на базі протоколу TCP, показав, що проблема ідентифікації FTP і TELNET-пакетів цілком покладається даними протоколами на транспортний рівень, тобто на TCP. (uk) Session Hijacking (englisch für etwa „Entführung einer Kommunikationssitzung“) ist ein Angriff auf eine verbindungsbehaftete Datenkommunikation zwischen zwei Computern. Während die Teilnehmer einer verbindungslosen Kommunikation Nachrichten ohne definierten Bezug zueinander austauschen, wird bei einer verbindungsbehafteten Kommunikation zunächst eine logische Verbindung (Sitzung, engl. session) aufgebaut. Authentifiziert sich einer der Kommunikationspartner gegenüber dem anderen innerhalb der Sitzung, stellt diese eine Vertrauensstellung dar. Ziel des Angreifers ist es, durch die „Entführung“ dieser Sitzung die Vertrauensstellung auszunutzen, um dieselben Privilegien wie der rechtmäßig authentifizierte Benutzer zu erlangen. (de) En informática, el secuestro de sesión, a veces también conocido como secuestro de cookie es la explotación de una sesión de ordenador válida—a veces también llamado una llave de sesión—para obtener acceso no autorizado a información o servicios en un sistema computacional. En particular, suele referirse al robo de una cookie mágica utilizada para autenticar un usuario a un servidor remoto. Es particularmente relevante para desarrolladores web, ya que las cookies de HTTP utilizadas para mantener una sesión en muchos sitios web pueden ser fácilmente robadas por un atacante utilizando un ordenador de intermediario o al acceder a cookies guardadas en el ordenador de la víctima (ver robo de cookie de HTTP). (es) In computer science, session hijacking, sometimes also known as cookie hijacking, is the exploitation of a valid computer session—sometimes also called a session key—to gain unauthorized access to information or services in a computer system. In particular, it is used to refer to the theft of a magic cookie used to authenticate a user to a remote server. It has particular relevance to web developers, as the HTTP cookies used to maintain a session on many websites can be easily stolen by an attacker using an intermediary computer or with access to the saved cookies on the victim's computer (see HTTP cookie theft). After successfully stealing appropriate session cookies an adversary might use the Pass the Cookie technique to perform session hijacking. Cookie hijacking is commonly used again (en) Session hijacking of sessiehijacking is een vorm van hacking waarbij de van een ander overgenomen wordt. Een sessie begint meestal met een waarbij gegevens ter authenticatie uitgewisseld worden. Het achterhalen van deze gegevens kan toegang geven tot de account van de legitieme gebruiker. In webtechnologie worden de sessiegegevens (de session key) opgeslagen in een cookie op de client. De inhoud van cookies kan op verschillende manieren gestolen worden. (nl) Em ciência da computação, session hijacking (em português, sequestro de sessão, algumas vezes também conhecido como sequestro de cookie) é a exploração de uma sessão de computador válida, às vezes também chamada de uma chave de sessão - para obter acesso não autorizado a informações ou serviços em um sistema de computador. Particularmente, é utilizado para se referir ao roubo de um cookie mágico utilizado para autenticar um usuário em um servidor remoto. Ele tem particular relevância para os desenvolvedores web, quando os cookies HTTP usados para manter uma sessão em vários sites web podem ser facilmente roubados por um atacante (cracker) usando um computador intermediário ou com acesso aos cookies guardados no computador da vítima. (pt) |
| rdfs:label | استغلال جلسة (ar) Únos spojení (cs) Session Hijacking (de) Secuestro de sesión (es) Dirottamento di sessione (it) 세션 하이재킹 (ko) セッションハイジャック (ja) Session hijacking (pl) Session hijacking (nl) Session hijacking (en) TCP hijacking (ru) Session hijacking (pt) 会话劫持 (zh) TCP hijacking (uk) |
| owl:sameAs | freebase:Session hijacking yago-res:Session hijacking wikidata:Session hijacking dbpedia-ar:Session hijacking dbpedia-cs:Session hijacking dbpedia-de:Session hijacking dbpedia-es:Session hijacking dbpedia-fa:Session hijacking dbpedia-fi:Session hijacking http://hy.dbpedia.org/resource/SideJacking dbpedia-it:Session hijacking dbpedia-ja:Session hijacking dbpedia-ko:Session hijacking dbpedia-nl:Session hijacking dbpedia-pl:Session hijacking dbpedia-pt:Session hijacking dbpedia-ru:Session hijacking dbpedia-uk:Session hijacking dbpedia-zh:Session hijacking https://global.dbpedia.org/id/4pd96 |
| prov:wasDerivedFrom | wikipedia-en:Session_hijacking?oldid=1119962090&ns=0 |
| foaf:isPrimaryTopicOf | wikipedia-en:Session_hijacking |
| is dbo:wikiPageDisambiguates of | dbr:Hijacking |
| is dbo:wikiPageRedirects of | dbr:Cookie_hijacking dbr:Session_Hijacking dbr:Token_hijacking dbr:Session-stealing dbr:Sidejack dbr:Sidejacking dbr:WhatsApp_sniffer |
| is dbo:wikiPageWikiLink of | dbr:Cookie_hijacking dbr:Pcap dbr:Zoombombing dbr:Sakura_Samurai_(group) dbr:Semantic_URL_attack dbr:Cookiemonster_attack dbr:Criticism_of_eBay dbr:Cross-site_scripting dbr:Potentially_unwanted_program dbr:Transport_Layer_Security dbr:Trusteer dbr:HTTP_Strict_Transport_Security dbr:HTTPS_Everywhere dbr:URL_shortening dbr:ARP_spoofing dbr:John_Jackson_(hacker) dbr:BGP_hijacking dbr:CRIME dbr:OpenSSL dbr:Orkut dbr:Hijacking dbr:Single_sign-on dbr:Firesheep dbr:Gifar dbr:Session_ID dbr:Session_Hijacking dbr:Token_hijacking dbr:Session-stealing dbr:Sidejack dbr:Sidejacking dbr:WhatsApp_sniffer |
| is foaf:primaryTopic of | wikipedia-en:Session_hijacking |