21442

21442

ارائه‌ي روشي براي دفاع در برابر حملات سرقت نِشست با استفاده از كوكي‌هاي يكبار مصرف

كارشناسي ارشد

فناوري اطلاعات - شبكه هاي كامپيوتري

1398/6/30

دكتر محمد عبداللهي ازگمي

كامپيوتر

با توسعه سريع فناوري اطلاعات و ارتباطات، شبكه‌هاي كامپيوتري هر روز نقش پُررنگ‌تري را در زندگي ما بازي مي‌كنند. در همين راستا، اهميت امنيت در كاربردهاي وب براي فراهم آوردن سرويس‌هاي حياتي مانند: امور بانكداري الكترونيكي، خريد الكترونيكي، شبكه‌هاي اجتماعي و غيره، غيرقابل چشم پوشي است، زيرا كه بيشتر اين امور از طريق اينترنت انجام مي‌گيرند. يك نيازمندي مهم كه در تمام كارهاي ذكر شده در بالا بايستي ذكر گردد، فراهم آوردن سازوكاري قابل قبول براي احراز هويت و جلوگيري از حملاتي مانند: حملات بازپخش و نيز حملات سرقت نِشست است. ليكن شاهد آن هستيم كه هنوز در كاربردهاي وب، از كوكي‌هاي نِشست ايستا، به منظور تصديق اعتبار پيام‌ها و درخواست‌ها، در كل مدت زمان اعتبار نِشست استفاده مي‌گردد. با اين وجود، اغلب روش‌هايي كه هم اكنون مورد استفاده قرار مي‌گيرند در برابر حملات بازپخش آسيب‌پذير بوده و هيچ سازوكار دفاعي در برابر اين حملات ارئه نمي‌دهند. همچنين، استفاده از كوكي‌هاي ايستا در HTTP، باعث مي‌گردد كه كاربران نسبت به انواع حملات مرتبط با سرقت نشست، مانند حملات تزريق اسكريپت از طريق وبگاه، تثبيتِ نشست، وجعل درخواست ميان وب‌گاهي آسيب‌پذير باشند. در اين پايان‌نامه، ما نشان مي¬دهيم كه اغلب حملات و مخاطرات امنيتي گفته شده در بالا، بدين خاطر ايجاد مي‌گردند، كه از كوكي‌هاي نشست ايستا براي مدت طولاني، براي احراز هويت يك نشست استفاده مي‌گردد. در پژوهش پيشنهادي، روشي براي مقابله به حملات مرتبط با سرقتِ نشست ، با استفاده از كوكي‌هاي يكبار مصرف ارائه مي‌گردد، بگونه‌اي كه نه تنها با استفاده از كوكي‌هاي يكبار مصرف، هويت كلاينت‌ها تصديق مي‌گردد، بلكه علاوه بر آن، با استفاده از كوكي‌هاي يكبار مصرف، روشي براي مقابله با زماني كه تُوكن نِشست، به طريقي به‌سرقت رفته، ارائه مي‌گردد، تا اينكه مهاجم نتواند با استفاده از حملات بازپخش، هويت كاربر را جعل نمايد.

1398/09/27

A Method for Defense against Session Hijacking Attacks Using One-Time Cookies

9/20/2020 12:00:00 AM

With the rapid development of information and communication technology, computer networks are playing a bigger role in our life every day. In this regard, the importance of security in web applications to provide vital services such as e-banking, e-shopping, social networking, etc. is undeniable, as most of these are done via the Internet. An important requirement that must be considered, is that, in all of the above-mentioned tasks is to provide an acceptable authentication mechanism and prevent attacks such as Session Hijacking, Cross-Site Scripting, Cross-Site Request Forgery, Session Fixation and Replay attacks. However, we see that static bearer cookies are still used in web applications to validate messages and requests throughout the authentication period. However, most of the methods currently used are vulnerable to Replay attacks and do not provide any defense mechanisms against these attacks. Also, the use of static cookies in HTTP, makes users vulnerable to all kinds of session-related attacks, such as Cross-Site Scripting, Cross-Site Request Forgery, Session Fixation and Replay attacks. In this thesis, we show that most of the security attacks and threats mentioned above arise because static session cookies have been used to user's authentication message validation. In the thesis, a method as a countermeasure for session hijacking attacks is presented using dynamic cookies.

ارائه‌ي روشي براي دفاع در برابر حملات سرقت نِشست با استفاده از كوكي‌هاي يكبار مصرف

A Method for Defense against Session Hijacking Attacks Using One-Time Cookies