1 المقدمة
تثبيت الجلسة هو أسلوب يسمح للمتسللين باختطاف جلسة المستخدم. تستفيد هذه التقنية من حقيقة أن الخادم لا يغير قيمة معرف الجلسة في كل مرة يقوم فيها المستخدم بتسجيل الدخول، وبدلاً من ذلك يستخدم معرف جلسة موجود مسبقًا. تتضمن عملية الهجوم الحصول على معرف جلسة صالح (ربما عن طريق الوصول إلى موقع الويب )، ثم إيجاد طريقة للضحية لتسجيل الدخول إلى موقع الويب باستخدام معرف الجلسة هذا، وأخيرًا، عندما يقوم الضحية بتسجيل الدخول بنجاح، سيتصفح المتسلل الموقع مع حسابه. السيناريو المحدد هو كما يلي:
يعثر Mallory على موقع ويب، مثل http://unsafe.example.com، يقبل أي معرف جلسة من الطلب دون مصادقة.
سيرسل مالوري إلى أليس بريدًا إلكترونيًا يحتوي على الرابط http://unsafe.example.com/?SID=1234.
تنتقل أليس إلى http://unsafe.example.com/?SID=1234. ثم قم بتسجيل الدخول إلى الموقع.
ينتقل مالوري ببساطة إلى http://unsafe.example.com/?SID=1234، ويستخدم موقع الويب مع حساب أليس.
يمكن لمالوري استخدام الطرق التالية لتعيين ملفات تعريف الارتباط لأليس:
قم بإرفاق برنامج نصي لتعيين ملفات تعريف الارتباط
إرسال حزمة استجابة HTTP بقيمة ملف تعريف الارتباط Mallory إرسال حزمة استجابة HTTP بقيمة ملف تعريف الارتباط Mallory
استخدم علامات تعريف HTML:
2. أمثلة
المثال 1 – البرمجة النصية من جانب العميل
وكما هو الحال مع السيناريو المذكور أعلاه، ومع ذلك، في هذه الحالة، لا يتم تمرير معرف الجلسة في عنوان URL ولكن في ملف تعريف الارتباط. لتحرير قيمة معرف الجلسة في ملف تعريف الارتباط الخاص بالضحية، سيقوم المتسلل بإدراج جزء من Javascript:
http://website.kom/document.cookie=”sessionid=abcd”;
المثال 2 - العلامة
يشبه ذلك البرمجة النصية من جانب العميل، ولكن هذه المرة سيقوم المتسلل بإدراج علامات إضافية:
http://website.kon/
المثال 3 - استجابة رأس HTTP
يمكن أيضًا إجراء إدراج معرف الجلسة عن طريق اعتراض الحزم المتبادلة بين العميل وتطبيق الويب، ثم إدراج حقل Set-Cookie في الرأس.
3. كيفية الوقاية
سبب هذا الخطأ هو أن الخادم لا يقوم بإعادة إنشاء معرف الجلسة بعد كل تسجيل دخول ناجح. لذلك، إصلاح هذا الخطأ ليس بالأمر الصعب، نحتاج فقط إلى تغيير قيمة معرف الجلسة وهذا كل شيء. في PHP، نستخدم الدالة session_regenerate_id() لإعادة إنشاء الجلسة.
هل ترى إشعار تفعيل Windows 10 في الزاوية اليمنى من الشاشة؟ سترشدك هذه المقالة إلى كيفية حذف إشعار طلب حقوق الطبع والنشر على نظام التشغيل Windows 10.
أصدرت Microsoft مؤخرًا آخر تحديث تراكمي لمستخدمي أجهزة الكمبيوتر التي تعمل بنظام Windows 10 والذي يسمى Build 14393.222. يعمل هذا التحديث الذي تم إصداره لنظام التشغيل Windows 10 بشكل أساسي على إصلاح الأخطاء بناءً على تعليقات المستخدمين وتحسين تجربة أداء نظام التشغيل.
هل لديك أجهزة كمبيوتر على شبكتك المحلية تحتاج إلى وصول خارجي؟ يمكن أن يكون استخدام مضيف أساسي كحارس بوابة لشبكتك حلاً جيدًا.
في بعض الأحيان قد تحتاج إلى حذف سجلات الأحداث القديمة مرة واحدة. في هذا الدليل، سيعرض لك موقع Quantrimang.com 3 طرق لحذف كافة سجلات الأحداث بسرعة في Windows 10 Event Viewer.
إذا كنت تفضل استخدام لوحة مفاتيح كلاسيكية قديمة، مثل IBM Model M، والتي لا تتضمن مفتاح Windows فعليًا، فهناك طريقة سهلة لإضافة المزيد، عن طريق استعارة مفتاح لا تستخدمه كثيرًا.
WindowTop هي أداة لديها القدرة على تعتيم جميع نوافذ التطبيقات والبرامج التي تعمل على أجهزة الكمبيوتر التي تعمل بنظام Windows 10. أو يمكنك استخدام واجهة ذات خلفية داكنة على النوافذ.
لقد ذكرنا في العديد من المقالات السابقة أن البقاء مجهول الهوية عبر الإنترنت أمر في غاية الأهمية. يتم تسريب المعلومات الخاصة كل عام، مما يجعل الأمان عبر الإنترنت ضروريًا بشكل متزايد. وهذا أيضًا هو السبب وراء ضرورة استخدام عناوين IP الافتراضية. فيما يلي، سنتعرف على طرق إنشاء عناوين IP وهمية!
شريط اللغة في نظام التشغيل Windows 8 عبارة عن شريط أدوات لغة مصغر مصمم للعرض تلقائيًا على شاشة سطح المكتب. ومع ذلك، يرغب العديد من الأشخاص في إخفاء شريط اللغة هذا على شريط المهام.
يعد تعظيم سرعة الإنترنت أمرًا ضروريًا لتحسين اتصال الشبكة لديك. يمكنك الحصول على تجربة ترفيه وعمل مثالية باستخدام أجهزة الكمبيوتر وأجهزة التلفزيون المجهزة للإنترنت ووحدات التحكم في الألعاب وما إلى ذلك.
يعد الاتصال اللاسلكي أمرًا ضروريًا اليوم، ولهذا السبب، يعد الأمان اللاسلكي ضروريًا لضمان السلامة في شبكتك الداخلية.
