In quale livello OSI si verifica il dirottamento di sessione?

Il dirottamento della sessione può potenzialmente avvenire su più livelli del modello OSI (possibilmente tutti), oltre che all'esterno della rete.

Fisico: Tocca la connessione fisica a qualcuno e invia tutti i pacchetti al MiTM.

Collegamento dati: ARP avvelena la connessione ethernet e invia tutti i pacchetti al MiTM

Rete: manipola il routing dei pacchetti e invia tutti i pacchetti al MiTM.

Transport / Session Un protocollo sicuro come SSL / TLS proteggerà dalla compromissione dei dati, ma se un utente malintenzionato ha anche infranto TLS / SSL, un'interruzione a questo livello interromperà la protezione dai compromessi ai livelli più bassi.

Presentazione Non riesco a pensare a nulla a questo livello e non si adatta bene a TCP / IP e protocolli, ma ciò non significa che non sia possibile.

Applicazione Potresti discuterne, ma direi che CSRF, Code injection e XSS sono tutti a livello di applicazione.

Al di fuori Qualsiasi compromissione della macchina stessa che può catturare una chiave di sessione e trasmetterla a un attacco, sia esso fisico, sistema operativo o qualche altra applicazione sarebbe al di fuori del modello OSI.

But is it not like the transport layer is the place where the routing takes place?

No, il routing avviene sul livello 3 del modello OSI, chiamato livello di rete.

We are finally routing them to our machine and then we are playing with the packets.

No, non viene instradato alla nostra macchina durante lo sniffing dei pacchetti di rete quando il routing avviene, ancora una volta, nel livello 3 del modello OSI.

In un ambiente commutato senza accesso alle interfacce di gestione degli switch è possibile acquisire pacchetti di rete durante l'avvelenamento della cache ARP.

L'avvelenamentodellacacheARPavvienesullivello2delmodelloOSI,chiamatolivellodicollegamentodati.LamessaincachedellacacheARPèunatecnicaincuiunutentemalintenzionatoinondalareteconframefalsificati.

Inquestomododiceatuttioaunnodospecificosullareteche,adesempio,l'indirizzodelgatewayèl'indirizzoèlamacchinadell'attaccante.

Incambio,l'utentemalintenzionatoinviailflussodidatialgatewayrealementreintercettailtraffico.

Poichéladomandanonindicachiaramentequaletipodidirottamentodisessionevienediscusso,suppongochesitrattidiundirottamentodisessionebasatosull'applicazione.

Neldirottamentodiunasessionebasatasuun'applicazione,unutentemalintenzionatotentadirecuperarloidentificatoredisessionelegittimodiunutente.Questodisolitoèmemorizzatoinuncookiedisessione.

Rubandouncookiedisessioneattivoevalido,l'utentemalintenzionatopuò"guidare la sessione" ed è in grado di fare qualsiasi cosa l'utente legittimo possa fare all'interno del sistema.

Ci sono diversi modi per farlo dal punto di vista dell'applicazione:

1. Correzione della sessione

In un attacco di fissazione della sessione, l'utente malintenzionato imposta un identificatore di sessione predefinito sul browser dell'utente.

Ciò può essere ottenuto inviando agli utenti un'email con un link contenente questo identificatore di sessione predefinito.

2. Scripting di siti incrociati

Se un'applicazione Web non esegue o non esegue correttamente la convalida dell'input e non protegge in modo appropriato il cookie di sessione con l'attributo HTTPOnly, è possibile rubare i cookie di sessione.

L'inserimento di un carico utile specifico nell'applicazione (riflessa o persistente) invierà le informazioni sui cookie di sessione al ladro di cookie dell'utente malintenzionato.

Esistono altri metodi per ottenere identificatori di sessione che non sono correlati alle applicazioni, pensate a:

1. Malware
2. Sidejack di sessione (Google it!)

I believe the answer of the question should be Network Layer

Da una prospettiva offensiva, penso che la risposta corretta dovrebbe essere il livello di trasporto e i livelli sopra di esso, a volte chiamati livelli host.