SideJacking
Այս հոդվածը կարող է վիքիֆիկացման կարիք ունենալ Վիքիպեդիայի որակի չափանիշներին համապատասխանելու համար։ Դուք կարող եք օգնել հոդվածի բարելավմանը՝ ավելացնելով համապատասխան ներքին հղումներ և շտկելով բաժինների դասավորությունը, ինչպես նաև վիքիչափանիշներին համապատասխան այլ գործողություններ կատարելով։ |
SideJacking (անգլերեն «կողմնակի միացում»), սա վեբ հարձակման մեթոդ է, որի էությունը կայանում է օգտագործողի նույնացման համար օգտագործվող տվյլալների ճանկումը, փոխանցման ճանապարհին։ Ի տարբերություն «մարդ արանքում» (man-in-the-middle) մեթոդից, որի իմաստը կայանում էր կոդավորված համակարգերից ինֆորմացիայի գողությունը և այդ ինֆորմացիայի հետագա ապակոդավորումը։ «Կողմնակից միացում» մեթոդի առանձնահատկությունն այն է, որ նրա դեպքում այլևս կարիք չկա ստացված տվյալների ապակոդավորելու, բանալիներ որոնելու և սերտիֆիկատների հետ աշխատելու։
Շատ ցանցային ծառայություններ (օրինակ՝ Gmail, Blog-Spot, Ֆեյսբուք, MySpace և այլն), ապահովագրում են իրենց օգտվողներին համակարգ մուտք գործելու ժամանակ, տվյալների փոխանցումը իրականացնելով SSL սերտիֆիկատով գործող գաղտնագրված HTTPS կանխագրի միջոցով։ Սակայն, հետագա տվյլաների փոխանցումը իրականցվում է չգաղտնագրված HTTP կանխագրով, իսկ օգտագործողի նույնացումը կատավրում է «սեսիայի իդենտիֆիկատորի» (session ID)-ի միջոցով։ Այդ իդենտիֆիկատորը գեներացվում է սպասառկուի կողմից մեկ անգամ և սպասարույի կողմում պահպանվում է քուքիների (cookies) կամ URL-ի միջոցով։
Ահա այս իդենտիֆիկատորն էլ հենց հանդիսանում է SideJacking մեթոդի թիրախը։ Քուքիները գողանալու համար սովորաբար օգտագործում են ցանցային սնիֆերներ (ներկայումս հատկապես WiFi ցանցերի սնիֆերներ)։
Ունենալով սեանսի իդենտիֆիկատորը, հարձակվողը կարող է համակարգին ներկայանալ զոհի անունից և ազատ մուտք գործել տվյալ համակարգ։
Աղբյուրներ
[խմբագրել | խմբագրել կոդը]«Wiki.Hacker». Արխիվացված է օրիգինալից 2008 թ․ դեկտեմբերի 2-ին. Վերցված է 2009 թ․ նոյեմբերի 4-ին.