குக்கீ மற்றும் அமர்வு தாக்குதல் என்பது இணைய பயன்பாடுகளில் உள்ள ஒரு வகையான பாதுகாப்பு பாதிப்பு ஆகும், இது அங்கீகரிக்கப்படாத அணுகல், தரவு திருட்டு மற்றும் பிற தீங்கிழைக்கும் செயல்களுக்கு வழிவகுக்கும். இந்த தாக்குதல்கள் எவ்வாறு செயல்படுகின்றன என்பதைப் புரிந்துகொள்வதற்கு, குக்கீகள், அமர்வுகள் மற்றும் இணைய பயன்பாட்டுப் பாதுகாப்பில் அவற்றின் பங்கு பற்றிய தெளிவான புரிதல் அவசியம்.
குக்கீகள் என்பது இணைய உலாவிகளால் கிளையன்ட் பக்கத்தில் (அதாவது பயனரின் சாதனம்) சேமிக்கப்படும் சிறிய தரவுகளாகும். உள்நுழைவு நற்சான்றிதழ்கள், விருப்பத்தேர்வுகள் மற்றும் ஷாப்பிங் கார்ட் பொருட்கள் போன்ற இணையதளத்துடன் பயனரின் தொடர்பு பற்றிய தகவல்களைச் சேமிக்க அவை பயன்படுத்தப்படுகின்றன. கிளையண்ட் செய்யும் ஒவ்வொரு கோரிக்கையுடன் குக்கீகள் சேவையகத்திற்கு அனுப்பப்படுகின்றன, இது சேவையகத்தை நிலையை பராமரிக்கவும் தனிப்பயனாக்கப்பட்ட அனுபவங்களை வழங்கவும் அனுமதிக்கிறது.
மறுபுறம், அமர்வுகள், உலாவல் அமர்வின் போது பயனர் தொடர்புகளைக் கண்காணிக்கப் பயன்படுத்தப்படும் சேவையக பக்க வழிமுறைகள். ஒரு பயனர் இணைய பயன்பாட்டில் உள்நுழையும்போது, ஒரு தனிப்பட்ட அமர்வு ஐடி உருவாக்கப்பட்டு அந்த பயனருடன் இணைக்கப்படும். இந்த அமர்வு ஐடி பொதுவாக கிளையன்ட் பக்கத்தில் குக்கீயாக சேமிக்கப்படும். பயனரை அடையாளம் காணவும், பயனர் விருப்பத்தேர்வுகள் மற்றும் அங்கீகார நிலை போன்ற அமர்வு-குறிப்பிட்ட தரவை மீட்டெடுக்கவும் சேவையகம் இந்த அமர்வு ஐடியைப் பயன்படுத்துகிறது.
இப்போது, குக்கீ மற்றும் அமர்வு தாக்குதலை எவ்வாறு செயல்படுத்தலாம் என்பதை ஆராய்வோம். குக்கீகள் மற்றும் அமர்வுகளில் உள்ள பாதிப்புகளைப் பயன்படுத்த, தாக்குபவர்கள் பயன்படுத்தக்கூடிய பல நுட்பங்கள் உள்ளன:
1. அமர்வு கடத்தல்: இந்தத் தாக்குதலில், தாக்குபவர் முறையான பயனரின் அமர்வு ஐடியை இடைமறித்து, அந்தப் பயனரைப் போல் ஆள்மாறாட்டம் செய்ய அதைப் பயன்படுத்துகிறார். நெட்வொர்க் ட்ராஃபிக்கை மோப்பம் பிடித்தல், அமர்வு குக்கீகளைத் திருடுதல் அல்லது அமர்வு சரிசெய்தல் பாதிப்புகளைப் பயன்படுத்துதல் போன்ற பல்வேறு வழிகளில் இதைச் செய்யலாம். தாக்குபவர் அமர்வு ஐடியைப் பெற்றவுடன், அவர்கள் பயனரின் கணக்கிற்கான அங்கீகரிக்கப்படாத அணுகலைப் பெற, அவர் சார்பாக செயல்களைச் செய்ய அல்லது முக்கியமான தகவலை அணுக அதைப் பயன்படுத்தலாம்.
உதாரணம்: வயர்ஷார்க் போன்ற கருவியைப் பயன்படுத்தி ஒரு பயனரின் நெட்வொர்க் டிராஃபிக்கை தாக்குபவர் ஒட்டு கேட்கிறார். பாதுகாப்பற்ற இணைப்பின் மூலம் அனுப்பப்பட்ட அமர்வு குக்கீயைப் படம்பிடிப்பதன் மூலம், தாக்குபவர் அந்த குக்கீயைப் பயன்படுத்தி பயனரைப் போல் ஆள்மாறாட்டம் செய்து அவர்களின் கணக்கிற்கு அங்கீகரிக்கப்படாத அணுகலைப் பெறலாம்.
2. செஷன் சைட்ஜாக்கிங்: செஷன் ஹைஜாக்கிங் போலவே, செஷன் சைட்ஜாக்கிங் என்பது அமர்வு ஐடியை இடைமறிப்பதை உள்ளடக்கியது. இருப்பினும், இந்த விஷயத்தில், தாக்குபவர் நெட்வொர்க்கை விட கிளையன்ட் பக்கத்தை குறிவைக்கிறார். கிளையண்டின் உலாவியில் உள்ள பாதிப்புகளைப் பயன்படுத்தி அல்லது தீங்கிழைக்கும் உலாவி நீட்டிப்புகளைப் பயன்படுத்துவதன் மூலம் இதை அடையலாம். அமர்வு ஐடியைப் பெற்றவுடன், தாக்குபவர் அதைப் பயன்படுத்தி பயனரின் அமர்வைக் கடத்தலாம் மற்றும் தீங்கிழைக்கும் செயல்களைச் செய்யலாம்.
எடுத்துக்காட்டு: பாதிக்கப்படக்கூடிய இணையதளத்தின் மூலம் தீங்கிழைக்கும் ஸ்கிரிப்டை உட்செலுத்துவதன் மூலம் தாக்குபவர் பயனரின் உலாவியை சமரசம் செய்கிறார். இந்த ஸ்கிரிப்ட் அமர்வு குக்கீயைப் படம்பிடித்து, தாக்குபவர்களின் சேவையகத்திற்கு அனுப்புகிறது. அமர்வு ஐடி கையில் இருந்தால், தாக்குபவர் பயனரின் அமர்வைக் கடத்தலாம் மற்றும் அங்கீகரிக்கப்படாத செயல்பாடுகளைச் செய்யலாம்.
3. அமர்வு சரிசெய்தல்: ஒரு அமர்வு நிர்ணயம் தாக்குதலில், தாக்குபவர், தாக்குபவர் முன்னரே தீர்மானிக்கப்பட்ட அமர்வு ஐடியைப் பயன்படுத்தும்படி பயனரை ஏமாற்றுகிறார். தீங்கிழைக்கும் இணைப்பை அனுப்புவதன் மூலமோ அல்லது வலை பயன்பாட்டின் அமர்வு மேலாண்மை செயல்பாட்டில் உள்ள பாதிப்புகளைப் பயன்படுத்துவதன் மூலமோ இதைச் செய்யலாம். கையாளப்பட்ட அமர்வு ஐடியுடன் பயனர் உள்நுழைந்ததும், பயனரின் கணக்கிற்கு அங்கீகரிக்கப்படாத அணுகலைப் பெற தாக்குபவர் அதைப் பயன்படுத்தலாம்.
எடுத்துக்காட்டு: தாக்குபவர் ஒரு பயனருக்கு ஃபிஷிங் மின்னஞ்சலை அனுப்புகிறார், அதில் சட்டப்பூர்வமான இணையதளத்திற்கான இணைப்பு உள்ளது. இருப்பினும், இந்த இணைப்பில் தாக்குபவர் ஏற்கனவே அமைத்த அமர்வு ஐடி உள்ளது. பயனர் இணைப்பைக் கிளிக் செய்து உள்நுழையும்போது, தாக்குபவர், பயனரின் கணக்கிற்கான அணுகலைப் பெற, முன்னரே தீர்மானிக்கப்பட்ட அமர்வு ஐடியைப் பயன்படுத்தலாம்.
குக்கீ மற்றும் அமர்வு தாக்குதல்களைத் தணிக்க, இணைய பயன்பாட்டு உருவாக்குநர்கள் மற்றும் நிர்வாகிகள் பின்வரும் பாதுகாப்பு நடவடிக்கைகளைச் செயல்படுத்த வேண்டும்:
1. பாதுகாப்பான இணைப்புகளைப் பயன்படுத்தவும்: அமர்வு குக்கீகள் உட்பட அனைத்து முக்கியத் தகவல்களும் HTTPSஐப் பயன்படுத்தி பாதுகாப்பான சேனல்கள் மூலம் அனுப்பப்படுவதை உறுதிசெய்யவும். இது அமர்வு கடத்தல் மற்றும் சைட்ஜாக்கிங் தாக்குதல்களைத் தடுக்க உதவுகிறது.
2. பாதுகாப்பான அமர்வு நிர்வாகத்தை செயல்படுத்தவும்: யூகிக்க அல்லது முரட்டுத்தனமான தாக்குதல்களை எதிர்க்கும் வலுவான அமர்வு ஐடிகளைப் பயன்படுத்தவும். கூடுதலாக, தாக்குபவர்களுக்கான வாய்ப்பைக் குறைக்க அமர்வு ஐடிகளைத் தவறாமல் சுழற்றுங்கள்.
3. அமர்வு குக்கீகளைப் பாதுகாக்கவும்: அமர்வு குக்கீகளில் "பாதுகாப்பான" மற்றும் "Http மட்டும்" கொடிகளை அமைக்கவும். "பாதுகாப்பான" கொடியானது குக்கீ பாதுகாப்பான இணைப்புகளில் மட்டுமே அனுப்பப்படுவதை உறுதி செய்கிறது, அதே நேரத்தில் "HttpOnly" கொடியானது கிளையன்ட் பக்க ஸ்கிரிப்ட்களை குக்கீயை அணுகுவதைத் தடுக்கிறது, குறுக்கு-தள ஸ்கிரிப்டிங் (XSS) தாக்குதல்களைத் தடுக்கிறது.
4. அமர்வின் காலாவதி மற்றும் செயலற்ற காலக்கெடுவைப் பயன்படுத்தவும்: குறிப்பிட்ட காலச் செயலற்ற நிலைக்குப் பிறகு பயனர்கள் தானாக வெளியேறுவதற்கு பொருத்தமான அமர்வு காலாவதி நேரங்கள் மற்றும் செயலற்ற காலக்கெடுக் காலங்களை அமைக்கவும். இது அமர்வு கடத்தல் மற்றும் சரிசெய்தல் தாக்குதல்களின் அபாயத்தைக் குறைக்க உதவுகிறது.
5. அமர்வுகளைத் தவறாமல் தணிக்கை செய்து கண்காணிக்கவும்: அசாதாரணமான இடங்களிலிருந்து ஒரே நேரத்தில் பல அமர்வுகள் அல்லது அமர்வுகள் போன்ற அசாதாரண அமர்வு நடத்தைகளைக் கண்டறிந்து தடுப்பதற்கான வழிமுறைகளை செயல்படுத்தவும். இது அமர்வு தொடர்பான தாக்குதல்களைக் கண்டறிந்து தணிக்க உதவும்.
குக்கீ மற்றும் அமர்வு தாக்குதல்கள் இணைய பயன்பாடுகளின் பாதுகாப்பிற்கு குறிப்பிடத்தக்க அச்சுறுத்தல்களை ஏற்படுத்துகின்றன. பாதிப்புகளைப் புரிந்துகொண்டு பொருத்தமான பாதுகாப்பு நடவடிக்கைகளைச் செயல்படுத்துவதன் மூலம், டெவலப்பர்கள் மற்றும் நிர்வாகிகள் பயனர் அமர்வுகளைப் பாதுகாக்கலாம் மற்றும் பயனர் தரவின் ஒருமைப்பாடு மற்றும் ரகசியத்தன்மையை உறுதிப்படுத்தலாம்.
தொடர்பான பிற சமீபத்திய கேள்விகள் மற்றும் பதில்கள் குக்கீ மற்றும் அமர்வு தாக்குதல்கள்:
- அங்கீகரிக்கப்படாத அணுகலைப் பெற, அமர்வு தாக்குதல்களில் துணை டொமைன்கள் எவ்வாறு பயன்படுத்தப்படலாம்?
- அமர்வு தாக்குதல்களுக்கு எதிராக பாதுகாப்பதில் குக்கீகளுக்கான "HTTP மட்டும்" கொடியின் முக்கியத்துவம் என்ன?
- பட மூலத்தில் உட்பொதிக்கப்பட்ட HTTP GET கோரிக்கையைப் பயன்படுத்தி தாக்குபவர் எவ்வாறு பயனரின் குக்கீகளைத் திருட முடியும்?
- அமர்வு கடத்தல் தாக்குதல்களைத் தணிப்பதில் குக்கீகளுக்கு "பாதுகாப்பான" கொடியை அமைப்பதன் நோக்கம் என்ன?
- ஒரு அமர்வு கடத்தல் தாக்குதலில் பயனரின் குக்கீகளை தாக்குபவர் எவ்வாறு இடைமறிக்க முடியும்?
- வலைப் பயன்பாடுகளுக்கான பாதுகாப்பான மற்றும் தனித்துவமான அமர்வு ஐடிகளை டெவலப்பர்கள் எவ்வாறு உருவாக்க முடியும்?
- குக்கீகளில் கையொப்பமிடுவதன் நோக்கம் என்ன, அது எவ்வாறு சுரண்டலைத் தடுக்கிறது?
- இணையப் பயன்பாடுகளில் அமர்வு தாக்குதல்களைத் தணிக்க TLS எவ்வாறு உதவுகிறது?
- குக்கீ மற்றும் அமர்வு தாக்குதல்களுக்கு எதிராக பாதுகாக்க சில பொதுவான பாதுகாப்பு நடவடிக்கைகள் யாவை?
- ஒரு பயனர் வெளியேறிய பிறகு அங்கீகரிக்கப்படாத அணுகலைத் தடுக்க அமர்வுத் தரவை எவ்வாறு செல்லாததாக்கலாம் அல்லது அழிக்கலாம்?
குக்கீ மற்றும் அமர்வு தாக்குதல்களில் மேலும் கேள்விகள் மற்றும் பதில்களைக் காண்க