Davidou的 Blog

CEH

[CEH V11]module11筆記-Session Hijacking

Application Level Session Hijcacking有下列幾種

  • Session sniffing
  • Predictable session token(可猜測的session token)
  • Man-in-the-middle attack
  • Man-in-the-browser attack
  • Cross-site scripting (XSS)
  • CSRF – Cross-Site Request Forgery(跨站點請求偽造)
  • session replay attack
  • session fixation attack會話固定(就是去偷到別人的session ID)
  • CRIME attack(通過它可竊取啟用資料壓縮特性的HTTPS或SPDY協定傳輸的私密Web Cookie。)
  • Forbidden attack

其實主要就都是搶session IDs或是session token,上面這些很多以前就常玩 就很懶得做筆記了0rz… 上課也恍神恍神的

session Hijacking 防禦

就不要亂點email或聊天軟體連結、裝防火牆、網站要認證過、清除瀏覽器資料、要https、記得登出

MITM attack防禦

  1. WEP/WPA Encryption(就是無線wifi要加密)
  2. VPN
  3. Two-Factor 認證

Be the First to comment.

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

(若看不到驗證碼,請重新整理網頁。)

About Author

DAVIDOU

一個不務正業,甚麼科技產品都玩的網路宅宅。 If you want to find me,that's easy! I will always on the Internet. so just find me, follow me. I will show you everything fun.

文章分類
展開 | 收起
最新回應
我的社群網路
plurk plurk github kunlex