Change search
ReferencesLink to record
Permanent link

Direct link
Sessionskapning i webbaserade inloggningssystem: en utredning av angrepp, försvar och kakor
University of Gävle, Faculty of Engineering and Sustainable Development, Department of Industrial Development, IT and Land Management.
2011 (Swedish)Independent thesis Basic level (degree of Bachelor), 10 credits / 15 HE creditsStudent thesis
Abstract [sv]

Användare av webbaserade inloggningssystem hotas av sessionskapningsangrepp, där angripare kan ta över andras konton, oavsett hur stark autentiseringsmekanismen är. HTTP-protokollets tillståndslösa natur tvingar klienter att skicka ett sessions-ID, oftast genom kakor, för att låta servern autentisera varje meddelande efter inloggningen; en angripare behöver endast få tag på detta ID för att fullfölja angreppet. Detta arbete har, utifrån en omfattande litteraturstudie och med ASP.NET Forms Authentication som exempel, visat hur diverse svagheter kan låta angripare få tag på sessions-ID:t på olika sätt – även om HTTPS används för att kryptera kommunikationen. Arbetet har dessutom sammanställt en uppsättning riktlinjer som webbutvecklare kan använda för att försvara sina webbsajter mot dessa angrepp, bland annat genom att sätta HttpOnly-flaggan för sina kakor för att försvåra avläsning på klientdatorn, samt att eventuellt förknippa inloggningssessionen med användarens IP-adress. Någon enkel heltäckande lösning tycks däremot inte finnas, och en avvägning mellan säkerhet och tillgänglighet är ofta nödvändig.

Place, publisher, year, edition, pages
2011. , 34 p.
National Category
Computer Science
Identifiers
URN: urn:nbn:se:hig:diva-9493OAI: oai:DiVA.org:hig-9493DiVA: diva2:423658
Subject / course
Computer science
Uppsok
Technology
Supervisors
Examiners
Available from: 2011-06-16 Created: 2011-06-16 Last updated: 2011-06-16Bibliographically approved

Open Access in DiVA

fulltext(759 kB)240 downloads
File information
File name FULLTEXT01.pdfFile size 759 kBChecksum SHA-512
e1bc2961597bdb8983bca246e891c3f0e97b6a1dfc4e215008ddf74a1955192c9515bac49bbb16a63222778d8bf4c25677123d4c69942c0af28ad1f48e2c277d
Type fulltextMimetype application/pdf

By organisation
Department of Industrial Development, IT and Land Management
Computer Science

Search outside of DiVA

GoogleGoogle Scholar
Total: 240 downloads
The number of downloads is the sum of all downloads of full texts. It may include eg previous versions that are now no longer available

Total: 116 hits
ReferencesLink to record
Permanent link

Direct link