SideJacking
 |
Այս հոդվածը կարող է վիքիֆիկացման կարիք ունենալ Վիքիփեդիայի որակի չափանիշներին համապատասխանելու համար։ Դուք կարող եք օգնել հոդվածի բարելավմանը՝ ավելացնելով համապատասխան ներքին հղումներ և շտկելով բաժինների դասավորությունը։ |
SideJacking (անգլերեն «կողմնակի միացում»), սա վեբ հարձակման մեթոդ է, որի էությունը կայանում է օգտագործողի նույնացման համար օգտագործվող տվյլալների ճանկումը, փոխանցման ճանապարհին։ Ի տարբերություն «մարդ արանքում» (man-in-the-middle) մեթոդից, որի իմաստը կայանում էր կոդավորված համակարգերից ինֆորմացիայի գողությունը և այդ ինֆորմացիայի հետագա ապակոդավորումը: «Կողմնակից միացում» մեթոդի առանձնահատկությունն այն է, որ նրա դեպքում այլևս կարիք չկա ստացված տվյալների ապակոդավորելու, բանալիներ որոնելու և սերտիֆիկատների հետ աշխատելու:
Շատ ցանցային ծառայություններ (օրինակ՝ Gmail, Blog-Spot, Facebook, MySpace և այլն), ապահովագրում են իրենց օգտվողներին համակարգ մուտք գործելու ժամանակ, տվյալների փոխանցումը իրականացնելով SSL սերտիֆիկատով գործող գաղտնագրված HTTPS կանխագրի միջոցով: Սակայն, հետագա տվյլաների փոխանցումը իրականցվում է չգաղտնագրված HTTP կանխագրով, իսկ օգտագործողի նույնացումը կատավրում է «սեսիայի իդենտիֆիկատորի» (session ID)-ի միջոցով: Այդ իդենտիֆիկատորը գեներացվում է սպասառկուի կողմից մեկ անգամ և սպասարույի կողմում պահպանվում է քուքիների (cookies) կամ URL-ի միջոցով:
Ահա այս իդենտիֆիկատորն էլ հենց հանդիսանում է SideJacking մեթոդի թիրախը: Քուքիները գողանալու համար սովորաբար օգտագործում են ցանցային սնիֆերներ (ներկայումս հատկապես WiFi ցանցերի սնիֆերներ)։
Ունենալով սեանսի իդենտիֆիկատորը, հարձակվողը կարող է համակարգին ներկայանալ զոհի անունից և ազատ մուտք գործել տվյալ համակարգ։
[խմբագրել] Աղբյուրներ
«Wiki.Hacker»։ http://wiki.xakep.ru/sidejacking.ashx։
 |
Սա Ինֆորմացիոն տեխնոլոգիաների մասին անավարտ հոդված է։ Դուք կարող եք օգնել Վիքիփեդիային՝ ուղղելով և լրացնելով այն։ |
