6 Stimmen

pobk avatar

Entschärfung des "Firesheep"-Angriffs in der Anwendungsschicht?

Gefragt el 25 de Oktober, 2010
Wann wurde die Frage gestellt
567 Ansichten
Anzahl der Besuche der Frage
4 Antworten
Anzahl der Fragenantworten
Gelöst
Aktueller Status der Frage

Welche Methoden werden empfohlen, um die "Firesheep"-Methode für Website-Anwendungen zu entschärfen?

Wir haben darüber nachgedacht, und aus Sicht der Benutzerfreundlichkeit kann es für Webentwickler ein Problem sein, den Angriff zu entschärfen, abgesehen von der Verschlüsselung des gesamten Datenverkehrs zu einer Website.

Ein Vorschlag, den wir gemacht haben, war die Verwendung pfadbasierter Cookies, die den Datenverkehr für einen bestimmten Pfad verschlüsseln, auf dem Kontobewegungen oder personalisierte Interaktionen stattfinden. Dies erschwert jedoch die Benutzerfreundlichkeit, da der Rest der Website (der nicht verschlüsselte - nicht authentifizierte) Teil nicht weiß, wer der Benutzer ist.

Hat jemand andere Vorschläge, wie man diesen Angriffsweg entschärfen und gleichzeitig ein brauchbares Maß an Benutzerfreundlichkeit beibehalten kann?

Gefragt el 25 de Oktober, 2010 von pobk

Antworten

Zu viele Anzeigen?

7voto

rook avatar
rook Punkte 64487

Firesheep ist nichts Neues . Session Hijacking gibt es schon seit mehr als zwei Jahrzehnten. Sie brauchen Ihr Cookie nicht zu "verschlüsseln", das wird von Ihrer Transportschicht erledigt. Cookies müssen immer ein kryptographische Nonce .

Normalerweise setzen Hacker ihre eigenen Cookies, indem sie Folgendes in die Adressleiste eingeben javascript:document.cookie='SOME_COOKIE' FireSheep ist für Skript-Kiddies, die 1 Zeile JavaScript fürchten. Aber es macht diesen Angriff nicht wirklich einfacher auszuführen.

Cookies können missbraucht werden, wenn Sie nicht während der gesamten Dauer der Sitzung HTTPS verwenden, und dies ist ein Teil der OWASP A9 - Unzureichender Schutz der Transportschicht . Aber man kann auch eine Sitzung mit XSS kapern.

1) Verwendung httponly-Cookies . (Dadurch kann JavaScript nicht auf document.cookie zugreifen, aber Sie können immer noch mit xss Session Riding betreiben)

2) Verwenden Sie " sichere Cookies "(Schrecklicher Name, aber es ist ein Flag, das den Browser zwingt, das Cookie nur für HTTPS zu verwenden).

3) Scannen Sie Ihre Webanwendung auf xss mit Sitewatch(kostenlos) o wapiti (offene Quelle)

Vergessen Sie auch nicht CSRF! (Was firesheep nicht anspricht)

Beantwortet el 25 de Oktober, 2010 von rook (64487 Punkte )

0voto

arscan avatar
arscan Punkte 111

Hat jemand versucht, die Vorteile des "Webspeichers" in HTML 5 zu nutzen, um einen gemeinsamen Schlüssel zu speichern (der bei SSL-verschlüsselten Antworten während der Authentifizierung übergeben wird), der von Javascript verwendet wird, um das Sitzungscookie im Laufe der Zeit zu ändern?

Auf diese Weise wären die gestohlenen (unverschlüsselten) Sitzungscookies nur für eine kurze Zeitspanne gültig.

Ich vermute, dass der Webspeicher nach Port (zusätzlich zum Host) segmentiert ist, so dass dies nicht möglich ist. Ich werfe diese Idee nur in den Raum, falls jemand sie ausprobieren möchte.

Beantwortet el 26 de Oktober, 2010 von arscan (111 Punkte )

0voto

pobk avatar
pobk Punkte 9267

Ich habe einen interessanten Artikel auf GitHub gefunden, der eine Methode zur Entschärfung des FireSheep-Angriffs beschreibt.

https://github.com/blog/737-sidejack-prevention

Beantwortet el 4 de November, 2010 von pobk (9267 Punkte )

-1voto

EA. avatar
EA. Punkte 4950

Wenn sich der Benutzer anmeldet, speichern Sie die IP-Adresse in der Sitzung.

Bei jeder weiteren Anfrage aus dieser Sitzung wird geprüft, ob die IP-Adresse mit der in der Sitzung gespeicherten übereinstimmt.

Beantwortet el 14 de November, 2010 von EA. (4950 Punkte )

Verwandte Fragen

Empfohlene Fragen

Top-Tags

CodeJaeger.com

CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.

Powered by:

Yandex
X