اگر کسی با موفقیت کوکی های مرورگر شما را بدزدد، نیازی به دانستن رمزهای عبور شما ندارد.
احراز هویت چند عاملی، لایههای امنیتی بیشتری را به سرویسهای ابری اضافه میکند، اما همیشه بیخطا نیست. اکنون مردم برای عبور از MFA و دسترسی به سرویسهای ابری شما، حملات پاس کوکی را انجام میدهند. هنگامی که آنها وارد می شوند، می توانند داده های حساس شما را بدزدند، استخراج کنند یا رمزگذاری کنند.
اما حمله پاس-کوکی دقیقاً چیست، چگونه کار میکند و برای محافظت از خود در برابر آن چه کاری میتوانید انجام دهید؟ بیایید دریابیم.
حمله Pass-the-Cookie چیست؟
استفاده از کوکی جلسه برای دور زدن احراز هویت، حمله پاس کوکی نامیده می شود.
هنگامی که کاربر سعی می کند به یک برنامه وب وارد شود، برنامه از کاربر می خواهد نام کاربری و رمز عبور خود را وارد کند. اگر کاربر احراز هویت چند عاملی را فعال کرده باشد، باید یک فاکتور احراز هویت اضافی مانند یک کد ارسال شده به آدرس ایمیل یا شماره تلفن خود ارسال کند.
هنگامی که کاربر احراز هویت چند عاملی را گذراند، یک کوکی جلسه ایجاد و در مرورگر وب کاربر ذخیره می شود. این کوکی جلسه به کاربر این امکان را می دهد که به جای گذراندن بارها و بارها در فرآیند احراز هویت هر زمان که به صفحه جدیدی از برنامه وب حرکت می کند، وارد سیستم شود.
کوکیهای جلسه تجربه کاربر را ساده میکنند زیرا کاربر مجبور نیست هر بار که به صفحه بعدی برنامه وب میرود دوباره احراز هویت کند. اما کوکیهای جلسه نیز یک تهدید امنیتی جدی هستند.
اگر شخصی بتواند کوکیهای جلسه را بدزدد و آن کوکیها را به مرورگر خود تزریق کند، برنامههای کاربردی وب به کوکیهای جلسه اعتماد میکنند و به سارق دسترسی کامل میدهند.
در صورتی که مهاجم به حساب Microsoft Azure، خدمات وب آمازون یا Google Cloud شما دسترسی پیدا کند، می تواند صدمات جبران ناپذیری ایجاد کند.
چگونه یک حمله Pass-the-Cookie کار می کند
در اینجا نحوه انجام یک حمله پاس کوکی توسط شخصی آمده است.
استخراج کوکی جلسه
اولین قدم در انجام یک حمله Pas-the-Cookie استخراج کوکی جلسه کاربر است. روشهای مختلفی وجود دارد که هکرها از آن برای سرقت کوکیهای جلسه استفاده میکنند، از جمله اسکریپت نویسی بین سایتی، فیشینگ، حملات Man-in-the-Middle (MITM) یا حملات تروجان.
بازیگران مخرب این روزها کوکیهای جلسه به سرقت رفته را در وب تاریک میفروشند. این بدان معناست که مجرمان سایبری مجبور نیستند برای استخراج کوکیهای جلسه کاربران تلاش کنند. با خرید کوکیهای دزدیده شده، مجرمان سایبری میتوانند به راحتی برای دسترسی به دادههای محرمانه و اطلاعات حساس قربانی، حملهای را برنامهریزی کنند.
عبور از کوکی
هنگامی که نفوذ کننده کوکی جلسه کاربر را داشته باشد، کوکی دزدیده شده را به مرورگر وب خود تزریق می کند تا جلسه جدیدی را شروع کند. برنامه وب فکر می کند که یک کاربر قانونی در حال شروع یک جلسه است و اجازه دسترسی می دهد.
هر مرورگر وب کوکی های جلسه را به طور متفاوتی مدیریت می کند. کوکیهای جلسه ذخیره شده در موزیلا فایرفاکس برای Google Chrome قابل مشاهده نیستند. و هنگامی که یک کاربر از سیستم خارج می شود، کوکی جلسه به طور خودکار منقضی می شود.
اگر کاربر بدون خروج از سیستم مرورگر را ببندد، بسته به تنظیمات مرورگر شما ممکن است کوکیهای جلسه حذف شوند. یک مرورگر وب ممکن است کوکیهای جلسه را حذف نکند اگر کاربر مرورگر را طوری تنظیم کرده باشد که از همان جایی که کار را متوقف کرده است ادامه دهد. این بدان معناست که خروج از سیستم ابزار مطمئنتری برای پاک کردن کوکیهای جلسه نسبت به خاموش کردن مرورگر بدون خروج از برنامه وب است.
چگونه حملات Pass-the-Cookie را کاهش دهیم
در اینجا چند راه برای جلوگیری از حملات رمز عبور داده شده است.
اجرای گواهینامه های مشتری
اگر میخواهید از کاربران خود در برابر حملات رمز عبور محافظت کنید، دادن یک توکن پایدار به آنها میتواند ایده خوبی باشد. و این نشانه به هر درخواست اتصال سرور متصل می شود.
میتوانید با استفاده از گواهیهای مشتری ذخیرهشده در سیستم، این امر را انجام دهید تا مشخص کنید آیا آنها همان چیزی هستند که ادعا میکنند یا خیر. هنگامی که یک کلاینت با استفاده از گواهینامه خود درخواست اتصال به سرور را ارائه می کند، برنامه وب شما از گواهی برای شناسایی منبع گواهی و تعیین اینکه آیا مشتری باید اجازه دسترسی داشته باشد یا خیر استفاده می کند.
اگرچه این یک روش ایمن برای مبارزه با حملات پاس کوکی است، اما فقط برای برنامه های کاربردی وب با تعداد محدودی کاربر مناسب است. برنامههای کاربردی وب با تعداد زیادی کاربر، پیادهسازی گواهیهای مشتری را بسیار چالش برانگیز میدانند.
به عنوان مثال، یک وب سایت تجارت الکترونیک کاربرانی در سراسر جهان دارد. فقط تصور کنید پیاده سازی گواهی های مشتری برای هر خریدار چقدر دشوار خواهد بود.
زمینه های بیشتری را به درخواست های اتصال اضافه کنید
افزودن زمینههای بیشتر به درخواستهای اتصال سرور برای تأیید درخواست، میتواند راه دیگری برای جلوگیری از حملات ارسال کوکی باشد.
به عنوان مثال، برخی از شرکت ها قبل از اعطای دسترسی به برنامه های وب خود، به آدرس IP کاربر نیاز دارند.
نقطه ضعف این روش این است که مهاجم ممکن است در همان فضای عمومی مانند فرودگاه، کتابخانه، کافی شاپ یا سازمان حضور داشته باشد. در چنین حالتی، هم به مجرم سایبری و هم کاربر قانونی اجازه دسترسی داده خواهد شد.
استفاده از اثر انگشت مرورگر
در حالی که معمولاً ممکن است بخواهید در برابر اثرانگشت مرورگر دفاع کنید، اما در واقع می تواند به شما در مبارزه با حملات رمز عبور کوکی کمک کند. اثر انگشت مرورگر به شما امکان می دهد زمینه بیشتری را به درخواست های اتصال اضافه کنید. اطلاعاتی مانند نسخه مرورگر، سیستم عامل، مدل دستگاه کاربر، تنظیمات زبان ترجیحی و پسوندهای مرورگر را می توان برای شناسایی زمینه هر درخواست استفاده کرد تا اطمینان حاصل شود که کاربر دقیقاً همان چیزی است که ادعا می کند.
کوکی ها نام بدی پیدا کرده اند زیرا اغلب برای ردیابی کاربران استفاده می شوند، اما گزینه هایی برای غیرفعال کردن آنها هستند. در مقابل، وقتی انگشت نگاری مرورگر را به عنوان عنصری از زمینه هویت برای هر درخواست اتصال پیاده سازی می کنید، گزینه انتخابی را حذف می کنید، به این معنی که کاربران نمی توانند اثر انگشت مرورگر را غیرفعال یا مسدود کنند.
از ابزار تشخیص تهدید استفاده کنید
استفاده از ابزار تشخیص تهدید یک راه عالی برای شناسایی حساب هایی است که به طور مخرب استفاده می شوند.
یک ابزار امنیت سایبری خوب به طور فعال شبکه شما را اسکن می کند و قبل از اینکه بتواند آسیب قابل توجهی وارد کند، در مورد هر گونه فعالیت غیرعادی به شما هشدار می دهد.
برای کاهش حمله Pass-the-Cookie، امنیت را تقویت کنید
حملات Pass-the-Cookie یک تهدید امنیتی شدید هستند. مهاجمان برای دسترسی به داده ها نیازی به دانستن نام کاربری، رمز عبور یا هر عامل دیگر احراز هویت شما ندارند. آنها فقط باید کوکیهای جلسه شما را بدزدند، و میتوانند وارد محیط ابری شما شوند و دادههای حساس را بدزدند، رمزگذاری کنند یا از آنها خارج کنند.
بدتر از آن، در برخی موارد، یک هکر میتواند حتی زمانی که کاربر مرورگر خود را بسته است، یک حمله پاس کوکی انجام دهد. بنابراین بسیار مهم است که اقدامات امنیتی لازم را برای جلوگیری از حملات رمز عبور انجام دهید. همچنین، به کاربران خود در مورد حملات خستگی MFA آموزش دهید که در آن هکرها رگباری از اعلانهای فشار را برای از بین بردن آنها ارسال میکنند.