विषयसूची:
परिभाषा - सत्र अपहरण का क्या अर्थ है?
सत्र अपहरण तब होता है जब क्लाइंट लॉगऑन के सफल प्रमाणीकरण के बाद वेब सर्वर से क्लाइंट ब्राउज़र को एक सत्र टोकन भेजा जाता है। एक सत्र अपहरण अपहरण काम करता है जब यह टोकन को या तो जब्त कर लेता है या यह अनुमान लगाता है कि एक प्रामाणिक टोकन सत्र क्या होगा, इस प्रकार यह वेब सर्वर पर अनधिकृत पहुंच प्राप्त करता है। यह सत्र सूँघने, मानव-में-मध्य या मैन-इन-ब्राउज़र ब्राउज़र हमलों, ट्रोजन, या यहां तक कि दुर्भावनापूर्ण जावास्क्रिप्ट कोड के कार्यान्वयन के परिणामस्वरूप हो सकता है।
वेब डेवलपर्स विशेष रूप से सत्र अपहरण से सावधान हैं क्योंकि वेबसाइट सत्र को बनाए रखने के लिए उपयोग किए जाने वाले HTTP कुकीज़ को एक हमलावर द्वारा बूट किया जा सकता है।
टेकोपेडिया सत्र अपहरण का वर्णन करता है
शुरुआती दिनों में, HTTP प्रोटोकॉल कुकीज़ का समर्थन नहीं करता था और इसलिए वेब सर्वर और ब्राउज़रों में HTTP प्रोटोकॉल नहीं था। सत्र अपहरण का विकास 2000 में शुरू हुआ जब HTTP 1.0 सर्वरों को लागू किया गया था। HTTP 1.1 को संशोधित किया गया है और सुपर कुकीज़ का समर्थन करने के लिए आधुनिकीकरण किया गया है जिसके परिणामस्वरूप वेब सर्वर और वेब ब्राउज़र सत्र हाइजैकिंग की चपेट में आ गए हैं।
वेब डेवलपर्स एन्क्रिप्शन की विधियों सहित अपनी साइटों के सत्र अपहरण से बचने में मदद करने के लिए कुछ तकनीकों को सूचीबद्ध कर सकते हैं और सत्र कुंजियों के लिए लंबे, यादृच्छिक संख्याओं का उपयोग कर सकते हैं। अन्य समाधान हैं, कुकी मान अनुरोधों को बदलना और लॉगिन के बाद सत्र उत्थान को लागू करना। फ़ायरफ़ॉक्स एक्सटेंशन, फ़ेयरशीप ने व्यक्तिगत कुकीज़ तक पहुंच की अनुमति देकर सार्वजनिक उपयोगकर्ता सत्रों के अपहरण को सक्षम किया है। ट्विटर और फेसबुक जैसी सोशल नेटवर्क वेबसाइटें भी असुरक्षित हैं, जब उपयोगकर्ता उन्हें अपनी पसंद से जोड़ते हैं।
