CEH

[CEH V11]module11筆記-Session Hijacking

Application Level Session Hijcacking有下列幾種

  • Session sniffing
  • Predictable session token(可猜測的session token)
  • Man-in-the-middle attack
  • Man-in-the-browser attack
  • Cross-site scripting (XSS)
  • CSRF – Cross-Site Request Forgery(跨站點請求偽造)
  • session replay attack
  • session fixation attack會話固定(就是去偷到別人的session ID)
  • CRIME attack(通過它可竊取啟用資料壓縮特性的HTTPS或SPDY協定傳輸的私密Web Cookie。)
  • Forbidden attack

其實主要就都是搶session IDs或是session token,上面這些很多以前就常玩 就很懶得做筆記了0rz… 上課也恍神恍神的

session Hijacking 防禦

就不要亂點email或聊天軟體連結、裝防火牆、網站要認證過、清除瀏覽器資料、要https、記得登出

MITM attack防禦

  1. WEP/WPA Encryption(就是無線wifi要加密)
  2. VPN
  3. Two-Factor 認證

Be the First to comment.

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。

(若看不到驗證碼,請重新整理網頁。)