Session Hijacking Kya Hai? Session Hijacking कैसे काम करता है?

वर्तमान में, बड़ी संख्या में लोग टेलीकांफ्रेंसिंग सेवाओं से जुड़ने के लिए पलायन कर रहे हैं। इसके कई फायदे हैं लेकिन एक ही समय में कई कंपनियों ने इस पर ध्यान नहीं दिया है। महामारी बढ़ने से ऑनलाइन सुरक्षा को लेकर चिंताएं बढ़ गई हैं। इन समस्याओं में से एक Session Hijacking Kya Hai, और आप यह देखने लगे हैं कि क्यों।

 

एफबीआई (FBI) ने खुलासा किया कि उसे अश्लील चित्रों और अनुचित सामग्री से बाधित सम्मेलनों की कई रिपोर्ट मिली हैं। मैसाचुसेट्स में दो स्कूलों ने घुसपैठियों को ऑनलाइन कक्षाओं में तोड़ने और बैठक में तोड़फोड़ करने की सूचना दी। इसके अलावा, इन मामलों में से एक में, घुसपैठिए ने शिक्षक के घर के पते को चिल्लाया जो कक्षा को पढ़ा रहा था।

यह न केवल यह साबित करता है कि सुरक्षा प्रणालियों की कठोरता से समीक्षा की जानी चाहिए; यह भी साबित होता है कि इन ऑनलाइन प्रसार साधनों तक पहुँच कर बहुमूल्य जानकारी चुराई जा सकती है।

Session Hijacking Kya Hai?
Session Hijacking Kya Hai?

 

इसलिए हम आपको इस आर्टिकल के जरिये Session Hijacking Kya hai?, What is Session Hijacking in Hindi? और Types of Session Hijacking के बारे में पूरा डिटेल्स के साथ बात करने वाले है|

Session Hijacking Kya Hai? What Is Session Hijacking in Hindi?

Session Hijacking एक सिस्टम पर आपकी जानकारी या सेवाओं तक अनधिकृत पहुंच प्राप्त करने के लिए कंप्यूटर Session का शोषण है। सिस्टम कुकीज़ की चोरी के माध्यम से, एक उपयोगकर्ता को दूरस्थ सर्वर पर प्रमाणित किया जा सकता है और सर्वर तक पहुंच दी जा सकती है।

कुकीज़ की सफल चोरी के बाद, एक हमलावर Session Hijacking करने के लिए “Pass The Cookie” तकनीक का उपयोग कर सकता था। Session ID एक दुर्भावनापूर्ण हैकर्स की खुशी है। एक Session ID के साथ, आप एक वेब एप्लिकेशन पर अनधिकृत पहुंच प्राप्त कर सकते हैं और एक वैध उपयोगकर्ता को प्रतिरूपण कर सकते हैं।

अधिकांश Session Hijacking विधियों कुकीज़ पर ध्यान केंद्रित करते हैं क्योंकि वे सबसे अधिक बार सत्र जानकारी ले जाने के लिए उपयोग किए जाते हैं। सामान्य तौर पर, वैध Session ID प्राप्त करने के तीन मुख्य तरीके हैं:

Session Prediction(Session की भविष्यवाणी)

Session Prediction के हमले ऐसे हमले हैं जो एक वैध Session ID (किसी भी उपयोगकर्ता) का अनुमान लगाने का प्रयास करते हैं। यह इस आधार पर किया जाता है कि उन आईडी का निर्माण कैसे किया जाता है। एक सत्र आईडी अद्वितीय और अनुमान लगाने में कठिन होनी चाहिए।

यही कारण है कि यह केवल लंबे, बेतरतीब ढंग से उत्पन्न संख्याओं का उपयोग करने के लिए अनुशंसित है। वास्तव में, यह अनुशंसा की जाती है कि आप ऐसी आईडी बनाने के लिए सुरक्षित और विश्वसनीय सत्र प्रबंधन पुस्तकालयों का उपयोग करें। हालाँकि, कुछ कंपनियां अपनी आईडी खुद बनाने का फैसला करती हैं और वे इसे बहुत अच्छी तरह से नहीं करती हैं। इस तरह वे Session Hijacking का शिकार हो जाते हैं।

उदाहरण के लिए, एक डेवलपर अपनी Session ID बनाने के लिए बेस 64-एन्कोडेड एपोच एल्गोरिदम का उपयोग कर सकता है। यह इस तरह एक मान्य Session आईडी उत्पन्न करेगा: MTU4MDMwMDE1OQ ==। यदि हमलावर को पता चलता है कि इस एल्गोरिदम का उपयोग किया गया था, तो वे बेस 64 पर अलग-अलग epochs की कोशिश करके सत्र टोकन का अनुमान लगाने की कोशिश कर सकते हैं।

एक brute force attack  को Session Prediction का एक रूप भी माना जा सकता है। यह तब होता है जब वेब सर्वर कई प्रयासों के खिलाफ संरक्षित नहीं होता है। यदि Session Key छोटी है, तो हमलावर तब तक सभी संभव मानों की कोशिश कर सकता है जब तक कि वह एक काम नहीं करता

Side Session Hijack

Session की भविष्यवाणी: इस शब्द का उपयोग Middle Ages (MITM) के हमलों का वर्णन करने के लिए किया जाता है। इस मामले में, हमलावर सर्वर और क्लाइंट के बीच संचार पर जासूसी करता है और वैध Session ID को स्वीकार करता है।

यदि ट्रैफ़िक एन्क्रिप्ट नहीं किया गया है, तो हमलावर ट्रैकर को रखता है जो क्लाइंट के समान नेटवर्क पर काम करता है। यह तब नेटवर्क ट्रैफ़िक, उपयोगकर्ता कनेक्शन और पैकेट ट्रैफ़िक पर नज़र रखता है।

यह सार्वजनिक वाई-फाई नेटवर्क के मामले में विशेष रूप से आम है, आज की आकस्मिकता में एक बहुत ही आम बात है। यदि वेबसाइट या वेब एप्लिकेशन विशेष रूप से Encryped Connection का उपयोग करता है,

तो सत्र ट्रेस काम नहीं करता है। इसके लिए, सर्वर के निजी डेटा को एन्क्रिप्ट करने वाले उपकरणों के उपयोग की सिफारिश की जाती है।

Session Determination

तब होता है जब हमलावर एक Valid Session ID बनाता है जिसका अभी तक उपयोग नहीं किया गया है। यह तब उपयोगकर्ता को प्रदान किया जाता है, जो तब इसका उपयोग Session में प्रमाणित करने के लिए करता है। इस प्रकार के Session को Hijackingकरने के लिए, हमलावर को पहले यह निर्धारित करना होगा कि कौन सा Session ID प्रारूप मान्य है।

फिर सोशल इंजीनियरिंग (जैसे फ़िशिंग) के माध्यम से यह उपयोगकर्ता को दुर्भावनापूर्ण लिंक पर क्लिक करने के लिए प्रेरित करता है। इस तरह, उपयोगकर्ता अपनी साख प्रदान करता है, इस प्रकार सत्र आईडी को हमलावर के खाते के साथ जोड़ देता है।

हमले के सटीक चरण और इसकी कठिनाई कई कारकों पर निर्भर करती है। उदाहरण के लिए, यदि एप्लिकेशन सत्र डेटा बचाता है, तो हमलावर को एक नकली फ़िशिंग साइट बनाने की आवश्यकता हो सकती है। यह हमलावर के लिए और अधिक कठिन हो जाता है यदि सत्र आईडी केवल कुकीज़ से स्वीकार किए जाते हैं। यदि ऐसा है, तो हमलावर को Cross-Site Scripting (XSS) जैसी तकनीकों का उपयोग करना चाहिए।

Cross-Site Scripting (XSS)

जब हम Cross-Site Scripting (XSS) के बारे में बात करते हैं, तो हमारा मतलब क्लाइंट-साइड कोड इंजेक्शन हमलों से है। सबसे पहले, दुर्भावनापूर्ण स्क्रिप्ट को किसी पेज या एप्लिकेशन में दुर्भावनापूर्ण कोड को शामिल करके पीड़ित के वेब ब्राउज़र में निष्पादित किया जाता है।

फिर, जब पीड़ित वेब पेज या एप्लिकेशन पर जाता है, तो वह उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट अपलोड करता है। यह दुर्भावनापूर्ण कोड सत्र कुकीज़ तक पहुँचता है और फिर उन्हें हमलावर द्वारा नियंत्रित सर्वर पर भेजता है।

यदि कोई असुरक्षित उपयोगकर्ता इनपुट का उपयोग करता है तो एक वेब पेज या वेब एप्लिकेशन XSS के लिए असुरक्षित है। इन हमलों को रोकने का सबसे अच्छा तरीका इस प्रविष्टि को पीड़ित के ब्राउज़र द्वारा स्कैन किया जाना है। ये विश्लेषण सर्वर स्कैन टूल द्वारा उत्पन्न किए जा सकते हैं।

Session Hijacking Se Kaise Bache?

Session Hijacking को रोकने के लिए अलग-अलग तरीके हैं। Session Hijacking का पता लगाने के पहले से ही तरीके होते हैं। अपनी सत्र आईडी को सुरक्षित रखने के लिए, इन चरणों का पालन करें:

  • अपना स्वयं का Session ID न बनाएँ। उन्हें उत्पन्न करने के लिए एक सुरक्षित उपकरण का उपयोग करें।
  • अपने सभी पृष्ठों पर HTTPS प्रमाणन के उपयोग को लागू करें। अपने आप को केवल लॉगिन पृष्ठ तक सीमित न करें।
  • प्रत्येक उपयोगकर्ता के लॉग इन करने के बाद Session ID बदलें।
  • निष्क्रिय उपयोगकर्ताओं को लॉग ऑफ करें। एक निर्धारित समय के बाद सत्र आईडी को अमान्य करें।
  • लेकिन सबसे महत्वपूर्ण: नियमित रूप से अपनी वेबसाइट या वेब एप्लिकेशन को एक भेद्यता स्कैनर के साथ स्कैन करें।

Vulnerability Scanning का महत्व

क्रॉस-साइट स्क्रिप्टिंग (XSS) Vulnerability Scanning उपकरण स्वचालित रूप से नए और मौजूदा खतरों की खोज करने के लिए डिज़ाइन किए गए हैं जो आपके अनुप्रयोगों पर हमला कर सकते हैं। यह कंप्यूटर, नेटवर्क इन्फ्रास्ट्रक्चर, सॉफ्टवेयर और हार्डवेयर सिस्टम के बीच कमजोरियों को पहचानने, वर्गीकृत और चिह्नित करने की अनुमति देता है|

Acunetix आपकी वेबसाइट को सुरक्षित करने के लिए बाजार पर सबसे विश्वसनीय उपकरण है। यह एक स्कैनर है जो HTML5, जावास्क्रिप्ट और PHP सहित किसी भी तरह के कोड पर काम करता है।

इस तरह, वे कोड में किसी भी अनियमितता का पता लगाते हैं और व्यवस्थापक को रिपोर्ट उत्पन्न करते हैं। ये रिपोर्ट या आंकड़े, जो विभिन्न प्रकारों से उत्पन्न हो सकते हैं, वेबसाइट की सुरक्षा में विकास के संपूर्ण विश्लेषण की अनुमति देते हैं। चूँकि इसकी प्राथमिकता अव्यक्त खतरों के कारण है, यह सुरक्षा संबंधी खामियों का पता लगाने और उनकी मरम्मत करने के लिए सिफारिशों को उत्पन्न करने में भी सक्षम है।

ये भी जाने:-

 

हम आशा करते है कि आपको हमारी यह Session Hijacking Kya hai?, What is Session Hijacking in Hindi? और Types of Session Hijacking पोस्ट पसंद आई होगी| इस आर्टिकल के सम्बन्ध में आपको कोई भी सवाल पूछना हो तो आप हमें कमेट करके बता सकते हो|

youwetechnical

मेरा नाम Y.R. Agnihotri है और मैं इस ब्लॉग का Founder हूं। हमने QuerClub ब्लॉग को अपने देश और देश के लोगों की मदद करने के लिए बनाया है। इसकी मदद से हम लोगो को गेमिंग, हैकिंग, नेटवर्किंग, सोशल मीडिया, कंप्यूटर, इन्टरनेट और बिज़नस आदि के बारे में सुचना देते रहते है|

Leave a Reply