SEOSERVISE - Защита информации.

 
   
 

Главная


 


Перехват сеансов В контексте обеспечения безопасности перехват сеансов не является новым подхо­ дом. Чаще всего этот термин используется для описания процесса захвата ТСР- соединения, который выполняется после нескольких подготовительных атак. При реализации такой атаки взломщик получает контроль над уже установленным ТСР-соединением. В контексте обеспечения безопасности в Web перехват сеансов означает получение контроля над сеансом работы с Web -приложением. Протокол HTTP не поддерживает состояния. Клиент запрашивает конкретный ре­сурс, который в конечном счете предоставляется сервером. На заре своего развития основная цель World Wide Web заключалась в создании универсальной среды обмена информацией на базе протокола HTTP и представлении данных в формате HTML . Гиперссылки позволяли реализовать в документах перекрестные ссылки. Время шло, и появились серверы, которые могли обрабатывать динамическое содержимое и вы­полнять программы, предназначенные для генерации кода HTML . Достаточно быстро возникла потребность в повышении интерактивности. Благодаря тому что броузеры стали успешно обрабатывать и текст и графику, они прочно заняли место универсаль­ ного клиента. На Web -серверах стали развертываться небольшие приложения, основу которых составляли CGI -сценарии. Это позволило существенно расширить возмож­ ности всех пользователей Internet , которые работали с броузерами. С этого момента используемая операционная система уже не играла никакой роли, а в процессе разра­ ботки приложений вместо модели с центральным большим компьютером и множест­ вом терминалов стала использоваться модель "клиент-сервер", в рамках которой кли­ ентами выступали броузеры, а сервером — Web -сервер. Современными серверами Web -приложений обслуживаются сложные приложения, предназначенные, например, для комплексной автоматизации деятельности целого предприятия. Программа Microsoft Outlook — это пример полнофункционального почтового клиента, который можно использовать независимо от Web -броузера. Серве­ ры Lotus Domino предоставляют Web -интерфейс, с использованием которого пользо­ ватели могут выполнять практически те же задачи, что и клиенты Lotus Notes . Во всех многопользовательских приложениях используется концепция пользова­тельских сеансов. Каждый пользователь взаимодействует с приложением в рамках от­ дельного сеанса работы. С помощью сеансов можно отслеживать всех текущих поль­ зователей приложения. Такая возможность чрезвычайно важна для отделения дейст­ вий одного пользователя от действий другого. Несмотря на стремительное изменение серверных Web -технологий, протокол HTTP остается все тем же. В настоящее время его версия 1.1 остается наиболее широко ис­ пользуемой. При разработке и использовании Web -приложений существует одна про­ блема — отсутствие поддержки состояний в протоколе HTTP . В настоящее время не су­ ществует ни одного стандарта, в котором бы определялся механизм сохранения состоя­ ний в Web -приложениях. Разработчики решают этот вопрос различными способами. Существуют как хорошие, так и плохие подходы к решению этой проблемы, хотя каж­дый из них позволяет получить рабочее приложение. Неудачная реализация механизма поддержки состояний приводит к возможности атак, связанных с перехватом сеансов.

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |