Workshop: „Ich habe dein Passwort geklaut!“ Cookies stehlen und Benutzereingaben auf Websites abfischen (20242)
Session-Hijacking - Workshop: „Ich habe dein Passwort geklaut!“ Cookies stehlen und Benutzereingaben auf Websites abfischen

Session-Hijacking - Workshop: „Ich habe dein Passwort geklaut!“ Cookies stehlen und Benutzereingaben auf Websites abfischen

Session-Hijacking

Session_highjack.png


Ein Man-in-the-Middle-Angriff (MITM-Angriff), auch Mittelsmannangriff oder Janusangriff (nach dem doppelgesichtigen Janus der römischen Mythologie) genannt, ist eine Angriffsform, die in Rechnernetzen ihre Anwendung findet. Der Angreifer steht dabei entweder physisch oder - heute meist - logisch zwischen den beiden Kommunikationspartnern, hat dabei mit seinem System vollständige Kontrolle über den Datenverkehr zwischen zwei oder mehreren Netzwerkteilnehmern und kann die Informationen nach Belieben einsehen und sogar manipulieren.

 
Rufen Sie eine Webanwendung, die die Verwendung von Passwort-Verfahren demonstriert, in einem beliebigen Webbrowser auf. Die URL lautet

...
 
Registrieren Sie in dieser bereits verwendeten Beispielanwendung einen neuen Account, halten Sie die Login-Daten geheim! Loggen Sie sich mit diesen geheimen Daten ein.


Lassen Sie sich nun das für die Verwendung der Websession verwendete Cookie stehlen und beobachten Sie, wie der Angreifer dieses in seinem Browser importiert und damit Ihre Sitzung in der Anwendung übernimmt!

Einen Man-in-the-Middle-Angriff kann man simulieren, indem folgendes Experiment mit zwei WWW-Browsern auf Ihrem Rechner ausgeführt wird:
  1. Starten Sie wireshark und beginnen Sie, den Datenverkehr auf der relevanten Netzwerkschnittstelle mitzuschneiden.
  2. Verwenden Sie einen beliebigen Webbrowser, um sich in der Beispielanwendung einzuloggen.
  3. Identifizieren Sie im Datenstrom, den Sie mit wireshark aufgezeichnet haben, das Session-Cookie, das für den Login verwendet wurde.
  4. Kopieren Sie den Inhalt dieses Cookies und importieren Sie es in einen zweiten Webbrowser.
  5. Rufen Sie die Beispielanwendung nun auch im zweiten Webbrowser auf. Sie sollten einen eingeloggten Status erhalten.