Защита DNS.

Итак, рассмотрев вкратце основные варианты атак через систему управления сессиями, поговорим о средствах противодействия. Основная идея защиты от подобных атак заключается в том, чтобы привязать идентификатор сессии к браузеру пользователя. Для этого нужно использовать заголовки HTTP-запроса для создания подписи браузера пользователя. В момент старта сессии данное значение вычисляется и сохраняется в переменной сессии. При повторном обращении мы снова вычисляем подпись браузера и сравниваем полученный результат со значением из сессии. Если значения не совпадают, то мы расцениваем это как попытку взлома и уничтожаем сессию. При этом, конечно, пострадает и сессия легального пользователя, возможно, ему придется заново авторизоваться, но идентификатор сессии, полученный злоумышленником, не будет актуальным.
Еще одно средство защиты - это запрет использования методов GET и POST для передачи идентификатора сессии. Для передачи идентификатора нужно использовать cookies. Дело в том, что если идентификатор передается, к примеру, в строке вида http//:mysite.loc index.php?PHPSESSID=<идентификатор сессии злоумышленника >, в этом случае веб-сервер присвоит пользователю идентификатор сессии злоумышленника. Кроме того, идентификатор сессии, входящий в состав URL, может быть опубликован самим пользователем вместе с ссылкой на сайт.
При этом велика вероятность кражи сессии. Для борьбы с этой угрозой необходимо использовать cookies.
Еще одним средством защиты является регенерация идентификатора сессии. Например, если злоумышленник готовит атаку с подменой сессии. Однако если приложение будет регенерировать идентификатор пользователя при авторизации, то злоумышленник не сможет осуществить подмену идентификатора. Для успешной защиты от подмены сессии необходимо регенерировать идентификатор в следующих случаях: в момент создания новой сессии и в момент изменения привилегий пользователя. Не стоит регенерировать идентификатор сессии при каждом запросе пользователя, так как пользователь не сможет корректно работать с данной страницей в нескольких окнах браузера. Также если пользователь осуществит переход на предыдущую страницу с помощью кнопки браузера «назад», то это приведет к разрушению текущей сессии.
На этом я завершаю тему атак на веб-приложение через систему управления сессиями. Думаю, основные принципы реализации атак на веб-порталы через управление сессиями мной были представлены.
Петухов Олег, юрист в области международного права и защиты персональных данных, специалист в области информационной безопасности, защиты информации и персональных данных.
Телеграм-канал: https://t.me/zashchitainformacii Группа в Телеграм: https://t.me/zashchitainformacii1 Сайт: https://legascom.ru Электронная почта: online@legascom.ru #защитаинформации #информационнаябезопасность