آموزش هک اخلاقی: هواپیماربایی جلسه ای

سرفصل ها و درس ها

درک جلسه هواپیماربایی Understanding Session Hijacking

• بررسی اجمالی Overview

• هواپیماربایی جلسه ای چیست؟ What Is Session Hijacking?

• انواع هواپیماربایی جلسه ای Types of Session Hijacking

• برداران حمله Attack Vectors

• تأثیر هواپیماربایی جلسه ای The Impact of Session Hijacking

• Session Rijacking و OWASP Top 10 Session Hijacking and the OWASP Top 10

• خلاصه Summary

پایداری جلسه در برنامه های وب Session Persistence in Web Applications

• بررسی اجمالی Overview

• ماهیت بدون دولت HTTP The Stateless Nature of HTTP

• حالت پایدار بیش از HTTP Persisting State Over HTTP

• پایداری جلسه در کوکی ها Session Persistence in Cookies

• ماندگاری جلسه در URL Session Persistence in the URL

• ماندگاری جلسه در زمینه های فرم پنهان Session Persistence in Hidden Form Fields

• خلاصه Summary

جلسات هواپیماربایی در برنامه های وب Hijacking Sessions in Web Applications

• بررسی اجمالی Overview

• ربودن کوکی ها با برنامه نویسی Cross Site Hijacking Cookies with Cross Site Scripting

• شناسه های جلسه مبتنی بر کوکی در گزارش ها Exposed Cookie Based Session IDs in Logs

• شناسه های جلسه مبتنی بر URL در گزارش ها Exposed URL Based Session IDs in Logs

• درز اطلاعات URL با جلسات مداوم در مراجعه کننده Leaking URL Persisted Sessions in the Referrer

• جلسه بو کردن Session Sniffing

• رفع جلسه Session Fixation

• شناسه های جلسه اجبار بی رحمانه Brute Forcing Session IDs

• اهدای جلسه Session Donation

• خلاصه Summary

شبکه و سطح سرویس گیرنده هواپیماربایی Network and Client Level Session Hijacking

• بررسی اجمالی Overview

• درک TCP Understanding TCP

• مرور دست دادن سه طرفه در Wireshark Reviewing the Three-way Handshake in Wireshark

• تولید و پیش بینی اعداد توالی TCP Generation and Predictability of TCP Sequence Numbers

• هواپیماربایی کور Blind Hijacking

• مردی در جلسه میانی استشمام می کند Man in the Middle Session Sniffing

• جعل IP IP Spoofing

• هواپیماربایی UDP UDP Hijacking

• مرد در حملات مرورگر Man in the Browser Attacks

• هواپیماربایی در سطح جلسه شبکه Network Level Session Hijacking in the Wild

• خلاصه Summary

کاهش خطر هواپیماربایی در جلسه Mitigating the Risk of Session Hijacking

• بررسی اجمالی Overview

• از شناسه های جلسه قوی استفاده کنید Use Strong Session IDs

• شناسه های جلسه را از URL دور نگه دارید Keep Session IDs Out of the URL

• از شناسه جلسه برای Auth استفاده مجدد نکنید Don’t Reuse Session ID for Auth

• همیشه کوکی های شناسه جلسه را فقط به عنوان HTTP پرچم گذاری کنید Always Flag Session ID Cookies as HTTP Only

• از Transport Layer Security استفاده کنید Use Transport Layer Security

• همیشه کوکی های شناسه جلسه را به عنوان امن پرچم گذاری کنید Always Flag Session ID Cookies as Secure

• انقضا جلسه و استفاده از کوکی های جلسه Session Expiration and Using Session Cookies

• غیرفعال کردن جلسات کشویی را در نظر بگیرید Consider Disabling Sliding Sessions

• کاربران را ترغیب کنید تا از سیستم خارج شوند Encourage Users to Log Out

• دوباره احراز هویت قبل از اقدامات کلیدی را انجام دهید Re-authenticate Before Key Actions

• خلاصه Summary

خودکار حملات هواپیماربای جلسه Automating Session Hijack Attacks

• بررسی اجمالی Overview

• دستکاری شناسه های جلسه با OWASP ZAP Manipulating Session IDs with OWASP ZAP

• تست قدرت نشانه نشست با Burp Suite Testing Session Token Strength with Burp Suite

• تست تجزیه و تحلیل پویا با NetSparker Dynamic Analysis Testing with NetSparker

• ابزارهای دیگر Other Tools

• خلاصه Summary