Session-Hijacking

Aus KreisAlarm-Dokumentation
Wechseln zu: Navigation, Suche

<kw_bread_crumbs></kw_bread_crumbs>

Einleitung

KreisAlarm arbeitet mit den sogenannten Session-IDs, bei denen für jeden Client ein neuer Schlüssel generiert wird, der solange Bestand hat, solange der Benutzer mit einem Timeout von 15 Minuten die Applikation benutzt. Der Session-Key ist der Teil der URL, der bei KreisAlarm hinter ;jsessionid= steht.

Session-Hijacking

Beim Session-Hijacking benutzt ein Angreifer eine ID, mit der ein anderer Benutzer eingeloggt hat und hat dadurch seine Rechte übernommen.


Gegenmaßnahmen in KreisAlarm

Die Session-ID in KreisAlarm ist so lang (Beispiel: "4722B8FBE99369B0C8198689BF586EBC"), dass sie nicht zufällig erraten oder ausprobiert werden kann. Zudem ist der Timeout von 15 Minuten ausreichend gering. Durch die Verwendung von SSL wird zudem die Session-ID nicht unverschlüsselt im Netzwerk übertragen - ein Netzwerk-Sniffer kann so kein Angriffsziel finden.

Zusätzlich ist die Session nur mit der IP gültig, mit der sie angelegt wurde.

Vorsichtsmaßnahmen

  1. Gehen Sie auf Exit, wenn Sie KreisAlarm beenden wollen. Dann wird die Session sofort ungültig und nicht erst nach max. 15 Minuten, wenn Sie den Browser schließen.
  2. Verschicken Sie keine Screenshots von gültigen Sessions oder URLs, bei denen Sie noch eingeloggt sind.
  3. Passen Sie auf, dass niemand an Ihren Rechner kommt, wenn Sie eingeloggt sind. Dieser könnte die Session-ID abschreiben und von einem anderen Rechner aus benutzen.
  4. Beenden Sie KreisAlarm über Exit unbedingt, wenn Sie an einem öffentlichen Terminal sind.


Referenzen

http://de.wikipedia.org/wiki/Session-ID

http://www.linux-konkret.de/security/angriffsmethoden-session-hijacking-cookies-url.html