SideJacking

Վիքիպեդիայից՝ ազատ հանրագիտարանից


SideJacking (անգլերեն «կողմնակի միացում»), սա վեբ հարձակման մեթոդ է, որի էությունը կայանում է օգտագործողի նույնացման համար օգտագործվող տվյլալների ճանկումը, փոխանցման ճանապարհին։ Ի տարբերություն «մարդ արանքում» (man-in-the-middle) մեթոդից, որի իմաստը կայանում էր կոդավորված համակարգերից ինֆորմացիայի գողությունը և այդ ինֆորմացիայի հետագա ապակոդավորումը։ «Կողմնակից միացում» մեթոդի առանձնահատկությունն այն է, որ նրա դեպքում այլևս կարիք չկա ստացված տվյալների ապակոդավորելու, բանալիներ որոնելու և սերտիֆիկատների հետ աշխատելու։

Շատ ցանցային ծառայություններ (օրինակ՝ Gmail, Blog-Spot, Facebook, MySpace և այլն), ապահովագրում են իրենց օգտվողներին համակարգ մուտք գործելու ժամանակ, տվյալների փոխանցումը իրականացնելով SSL սերտիֆիկատով գործող գաղտնագրված HTTPS կանխագրի միջոցով։ Սակայն, հետագա տվյլաների փոխանցումը իրականցվում է չգաղտնագրված HTTP կանխագրով, իսկ օգտագործողի նույնացումը կատավրում է «սեսիայի իդենտիֆիկատորի» (session ID)-ի միջոցով։ Այդ իդենտիֆիկատորը գեներացվում է սպասառկուի կողմից մեկ անգամ և սպասարույի կողմում պահպանվում է քուքիների (cookies) կամ URL-ի միջոցով։

Ահա այս իդենտիֆիկատորն էլ հենց հանդիսանում է SideJacking մեթոդի թիրախը։ Քուքիները գողանալու համար սովորաբար օգտագործում են ցանցային սնիֆերներ (ներկայումս հատկապես WiFi ցանցերի սնիֆերներ)։

Ունենալով սեանսի իդենտիֆիկատորը, հարձակվողը կարող է համակարգին ներկայանալ զոհի անունից և ազատ մուտք գործել տվյալ համակարգ։

Աղբյուրներ[խմբագրել]

«Wiki.Hacker»։ http://wiki.xakep.ru/sidejacking.ashx։