¿Por qué se requiere MITM para el secuestro de sesión?

Navega tus respuestas
2

Según tengo entendido, el concepto básico de secuestro de sesión es interceptar un paquete en el que la víctima envía sus cookies / credenciales de sesión a un servidor, ya sea Facebook / Twitter / YouTube / Lo que sea.

Pero dondequiera que mire y lo que sea que lea, se requiere un ataque MITM (Man In The Middle). Y no entiendo por qué. Los paquetes se transmiten a toda la red. Puedo ver (o al menos debería ver) esos paquetes con Wireshark independientemente. Dado que si entro con mi computadora portátil en una cafetería, debería ver todo el tráfico en esa red, ¿por qué tengo que realizar un ataque MITM?

    
pregunta user97964 23.01.2016 - 00:37
fuente

4 respuestas

1

El secuestro de sesión también puede secuestrar una sesión que ya se ha establecido. Y tienes razón, todo lo que necesitas es el paquete, y no estar en el medio del flujo. Por ejemplo, si la administración de la sesión está mal configurada, podría restablecer la misma sesión si el usuario se desconecta del servidor.

Tal vez lo que estás leyendo es hacer una diferencia entre "secuestro de sesión" y "secuestro".

Quizás el caso más famoso de secuestro de sesión sea Firesheep . Sus diapositivas explican cómo hace lo que hace y no requiere estar en el medio.

    
respondido por el schroeder 23.01.2016 - 01:50
fuente
1

Supongo que está hablando de sesión en el contexto de una aplicación web, es decir, no de la sesión TCP o sesión TLS, sino de una sesión autorizada de una aplicación web. Este suele ser mantenido por una cookie y, a menudo, todo lo que necesita para secuestrar la sesión es tener acceso a esta cookie de sesión.

El acceso a esta cookie de sesión se puede hacer con un hombre en el ataque central leyendo la cookie de los paquetes transferidos interceptados. Se puede hacer leyendo pasivamente los paquetes donde no se necesita un hombre en el acceso medio, sino solo el acceso pasivo al paquete. Este acceso es posible, por ejemplo, en el puerto espejo de un enrutador. Pero incluso sin acceso en la capa de red, el secuestro de sesión podría ser posible, ya que la cookie puede leerse desde JavaScript al explotar un error de scripts entre sitios (XSS) en la aplicación web.

Y podría haber más tipos de ataques posibles, dependiendo de cuán buenas sean las protecciones contra el secuestro de sesiones. Consulte también OWASP para obtener más ideas.

    
respondido por el Steffen Ullrich 23.01.2016 - 07:10
fuente
0

Para responder a tu pregunta, no necesitas un hombre en el ataque central si ya eres capaz de observar su tráfico. Sin embargo, un ataque MitM puede ser requerido en una red conmutada, por ejemplo, porque el tráfico de la víctima no viajará de otra manera a su computadora. Con una red inalámbrica abierta (o encriptada con una clave conocida), generalmente no necesita usar MitM ya que puede rastrear esos paquetes de manera pasiva, lo mismo ocurre con una red de hub o un puerto de toque / espejo.

    
respondido por el multithr3at3d 23.01.2016 - 07:22
fuente
0

En primer lugar, el secuestro de sesiones no requiere MiTM y también puede lograrse mediante otros vectores de ataque como el robo de cookies a través de XSS u otros ataques web como la fijación de sesión.

También Packet Sniffing con herramientas como Wireshark no funcionará en Switched Network y para poder usar MiTM deberá realizar otros ataques como la suplantación de ARP.

enlace enlace
enlace

    
respondido por el Michal Koczwara 23.01.2016 - 15:15
fuente

Lea otras preguntas en las etiquetas

aplicación de Chrome (javascript): almacenar la contraseña de cifrado en la memoria Administración de sesiones de una sola página