attack

CRIME攻撃によるセッションハイジャック

 

CRIME攻撃によるセッションハイジャックの方法について解説します。

 

CRIME攻撃とは

 

CRIME攻撃はCompressionRatipInfo-LeakEasy攻撃の略称です。

クライアント攻撃で名前の通りプロトコルのデータ圧縮機能にある脆弱性を利用します。

攻撃者は秘密のセッションCookieを複合してセッションをハイジャックします。

 

CRIME攻撃の流れを解説

 

①攻撃者が標的を騙して悪意のあるリンクを踏ませる

②ユーザーと正当なサーバ間でHTTPセッションが確立される

③攻撃者はHTTPトラフィックをスニッフィングしてCookieを取得する

④攻撃者はcookieの値を予測してセッションを確立する

 

-attack

© 2021 ストロテクトNote