Session Hijacking คืออะไร
โดย
Session Hijacking หรือ การไฮแจ็กเซสชัน เป็นการโจมตีทางไซเบอร์ชนิดหนึ่งที่ผู้โจมตีเข้ามาขโมยหรือขัดขวางเซสชันการเชื่อมต่อระหว่างผู้ใช้กับเซิร์ฟเวอร์ ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลส่วนตัวหรือทำการใดๆ ในนามของผู้ใช้ได้ราวกับเป็นตัวผู้ใช้นั้นเอง (ที่นิยมมากๆจะเป็นการขโมยคุกกี้ของผู้ใช้)
- ★ทำงานอย่างไร
1) ขโมย Session ID
ผู้โจมตีจะพยายามขโมย Session ID ซึ่งเป็นค่าที่เซิร์ฟเวอร์สร้างขึ้นเพื่อระบุตัวตนของผู้ใช้ในการเชื่อมต่อแต่ละครั้ง โดยอาจใช้วิธีต่างๆ เช่น การดักจับแพ็กเก็ตข้อมูล, การใช้ช่องโหว่ในเว็บแอปพลิเคชัน, หรือการใช้มัลแวร์
2) ปลอมตัวเป็นผู้ใช้
เมื่อได้ Session ID มาแล้ว ผู้โจมตีจะนำไปใช้ในการเข้าถึงเซิร์ฟเวอร์ โดยปลอมตัวเป็นผู้ใช้ที่ถูกต้อง ทำให้สามารถเข้าถึงข้อมูลส่วนตัว, ทำการเปลี่ยนแปลงข้อมูล, หรือทำธุรกรรมต่างๆ ในนามของผู้ใช้ได้
- ★ความอันตราย
○ การเข้าถึงข้อมูลส่วนตัว
ผู้โจมตีสามารถเข้าถึงข้อมูลส่วนตัวของผู้ใช้ เช่น รหัสผ่าน, ข้อมูลบัตรเครดิต, หรือข้อมูลทางการเงินอื่นๆ
○ การทำธุรกรรมที่ไม่ได้รับอนุญาต
ผู้โจมตีสามารถทำการซื้อสินค้า, โอนเงิน, หรือเปลี่ยนแปลงข้อมูลสำคัญในนามของผู้ใช้ได้
○ การทำลายระบบ
ในบางกรณี ผู้โจมตีอาจใช้สิทธิ์ของผู้ใช้ในการทำลายระบบหรือข้อมูลขององค์กร
- ★วิธีป้องกัน
○ ใช้ HTTPS
การเชื่อมต่อผ่าน HTTPS จะช่วยเข้ารหัสข้อมูลที่ส่งระหว่างเบราว์เซอร์และเซิร์ฟเวอร์ ทำให้ยากต่อการดักจับข้อมูลโดยผู้โจมตี
○ กำหนดระยะเวลาการหมดอายุของ Session
กำหนดให้ Session หมดอายุลงหลังจากไม่ได้ใช้งานเป็นระยะเวลาหนึ่ง เพื่อลดความเสี่ยงหาก Session ID ถูกขโมย
○ ใช้ Session ID ที่มีความแข็งแรง
เลือกใช้ Session ID ที่มีความยาวและมีความซับซ้อนสูง
○ ป้องกัน XSS (Cross-Site Scripting)
XSS เป็นช่องโหว่ที่มักถูกใช้ในการโจมตี Session Hijacking การป้องกัน XSS จะช่วยลดความเสี่ยงในการถูกโจมตี
○ ใช้ HTTPOnly Cookie กำหนดให้ Cookie ที่เก็บ Session ID เป็นแบบ HTTPOnly เพื่อป้องกันไม่ให้ JavaScript สามารถเข้าถึงและขโมย Cookie ได้
○ อัปเดตซอฟต์แวร์และระบบปฏิบัติการให้เป็นปัจจุบัน
เพื่อแก้ไขช่องโหว่ที่อาจถูกใช้ในการโจมตี
○ ให้ความรู้แก่ผู้ใช้
สอนให้ผู้ใช้ระวังการคลิกลิงก์ที่ไม่น่าเชื่อถือ หรือดาวน์โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ
✏️ Shoper Gamer
- ✓Cookies คืออะไร 👇
![[Shoper Gamer] Cookies คืออะไร
โดย](https://t1.blockdit.com/photos/2024/11/6740a357453ca7942c361f8d_800x0xcover_RsHWqxKc.jpg)
- ✓XSS คืออะไร 👇
![[Shoper Gamer] XSS คืออะไร
โดย](https://t1.blockdit.com/photos/2024/11/6740a367c5d700bda44c1786_800x0xcover_4YzBMsF9.jpg)
Credit :
👇
- ●https://www.geeksforgeeks.org/session-hijacking/
- ●https://www.ttbbank.com/th/fin-tips/detail/session-hijacking
- ●https://www.kaspersky.com/resource-center/definitions/what-is-session-hijacking
- ●https://www.keepersecurity.com/blog/2024/04/03/what-is-the-best-way-to-prevent-session-hijacking/
- 1
ดูเพิ่มเติมในซีรีส์
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2024 Blockdit
