Perché MITM è richiesto per Session Hijacking?

2

Come ho capito, il concetto base di Session Hijacking è intercettare un pacchetto in cui la vittima invia le proprie credenziali di cookie / sessione a un server, sia esso Facebook / Twitter / YouTube / Qualunque cosa.

Ma ovunque guardi e qualunque cosa legga, è necessario un attacco MITM (Man In The Middle). E non capisco perché. I pacchetti vengono trasmessi all'intera rete. Posso vedere (o almeno dovrebbe vedere) quei pacchetti con Wireshark a prescindere. Dato che se entro in un coffee shop inserisco il mio laptop, dovrei vedere tutto il traffico su quella rete, perché devo eseguire un attacco MITM?

    
posta user97964 23.01.2016 - 00:37
fonte

4 risposte

1

Session Hijacking può anche dirottare una sessione che è già stata stabilita. E hai ragione, tutto ciò di cui hai bisogno è il pacchetto e non essere nel mezzo del flusso. Ad esempio, se la gestione della sessione non è configurata correttamente, è possibile ristabilire la stessa sessione se l'utente si disconnette dal server.

Forse quello che stai leggendo sta facendo una differenza tra "session hijacking" e "sidejacking".

Forse il caso più famoso di session hijacking è Firesheep . Le loro diapositive spiegano come fa quello che fa e non ha bisogno di stare nel mezzo.

    
risposta data 23.01.2016 - 01:50
fonte
1

Suppongo che tu stia parlando di sessione nel contesto di un'applicazione web, cioè non della sessione TCP o della sessione TLS ma di una sessione autorizzata di un'applicazione web. Questo di solito è gestito da un cookie e spesso tutto ciò di cui hai bisogno per dirottare la sessione è avere accesso a questo cookie di sessione.

L'accesso a questo cookie di sessione può essere fatto con un uomo in mezzo all'attacco leggendo il cookie dai pacchetti trasferiti intercettati. Può essere fatto leggendo passivamente i pacchetti in cui non è necessario l'accesso intermedio, ma solo l'accesso passivo al pacchetto. Questo accesso è possibile ad esempio alla porta mirror di un router. Ma anche senza accesso al livello di rete il dirottamento di sessione potrebbe essere possibile, perché il cookie potrebbe essere leggibile da JavaScript sfruttando un bug XSS (cross-site-scripting) nell'applicazione web.

E potrebbero esserci più tipi di attacchi possibili, a seconda di quanto siano efficaci le protezioni contro il dirottamento di sessione. Vedi anche OWASP per ulteriori idee.

    
risposta data 23.01.2016 - 07:10
fonte
0

Per rispondere alla tua domanda, non hai bisogno di un uomo nell'attacco centrale se sei già in grado di osservare il loro traffico. Tuttavia, può essere richiesto un attacco MitM su una rete commutata, ad esempio perché il traffico della vittima non viaggia altrimenti sul tuo computer. Con una rete wireless aperta (o crittografata con una chiave conosciuta), di solito non è necessario utilizzare MitM poiché è possibile annusare passivamente tali pacchetti, lo stesso vale per una rete hub o una porta tap / mirror.

    
risposta data 23.01.2016 - 07:22
fonte
0

Prima di tutto, Session Hijacking non richiede MiTM e può essere raggiunto anche da altri vettori di attacco come il cookie che ruba tramite XSS o altri attacchi Web come la Session Fixation.

Anche Packet Sniffing con strumenti come Wireshark non funzionerà su Switched Network e per poterlo fare a MiTM dovrai eseguire altri attacchi come lo spoofing ARP.

link link
link

    
risposta data 23.01.2016 - 15:15
fonte

Leggi altre domande sui tag