الدرس السادس:مثال بسيط عن Session Hijacking


حتى نستطيع استخدام الأدوات التي تعرفنا عليها في أحد الدروس السابقة و المتمثلة في OWASP ZAP و إضافة Edit This Cookie و الخاصة بمتصفح جوجل كروم،هته الأدوات تساعدنا كثيرا في القيام بعمليات اختبار اختراق ناجحة جدا خصوصا إن اجدنا طريقة استعمالها.
حتى يفهم الجميع طريقة الإستعمال،حاولت تقديم مثال بسيط،هذا المثال هو عبارة عن هجوم الإستيلاء على الجلسة أو ما يعرف عند المهتمين بأمن المعلومات عموما بـ Session Hijacking.هذا الهجوم يعتبر من أسهل الهجومات سهولة في الإستغلال بحيث يكفي أن تستولي على الـ Auth Cookie لتقوم بالإستيلاء على جلسة الضحية و بالتالي تتحكم في حسابه بشكل مباشر.

كما قلت سابقا فهذا الدرس هو مجرد تبيان لكيفية استخدام الأدوات حتى نتعود عليها و نعرف أمورا تتعلق بها فقط،أما كيفية التطبيق مع أنواع الثغرات الأخرى فسيأتي الحديث عنها إن شاء الله قريبا.

في هذا الدرس استخدمت موقعا جديدا هو موقع Hack Your Self First و هو أحد مواقع الخبير الأمني Troy Hunt و المتاح استخدامها للجميع،يمكنكم التسجيل في الموقع حتى تستطيعوا تطبيق درس اليوم.
أتمنى لكم مشاهدة ممتعة للدرس...



أتمنى أن يكون الدرس مفيدا للجميع...
على الجانب:أخطط للتنظيم لقاء أسبوعي على خدمة Google Hangout لمناقشة ما يتعلق بأمن المعلومات سواء تعلق الأمر بأخبار أو شرح أدوات أو حل مشاكل...فما رأيكم؟
دمتم بود،سلام

تعليقات

  1. بارك الله فيك ونفع بك كل المسلمين لاكن اعتقد لن تستطيع تغير الباسوورد لأن جميع المواقع تطلب اعادة الباس القديم قبل وضع جديد شكرا لك و انا حاليا اتمنى ان تقبلني كا طالب عندك شكرا جزيلا مرة اخرى

    ردحذف
    الردود
    1. و فيك بارك الله أخي أشرف،كما سبق و أن ذكرت بأنها مجرد استغلال بسيط.
      يمكن استخدام الهندسة الإجتماعية لتغيير الباسوورد...لست أستاذا لتكون طالبا عندي فأنا مجرد طالبا للعلم أحاول إعادة نشر ما تعلمته

      حذف
  2. السلام عليكم اخي عبد المجيد
    بارك الله فيك أخي على الدرس القيم
    و حقيقة هناك أساليب لسرقة الكوكيز مثلا عن طريق سرقها من ترافيك المار من داخل الشبكة المحلية او عن طريق ثغرات XSS
    شكرا لك

    ردحذف

إرسال تعليق

شاركنا رأيك حول الموضوع...