= Žodis angliškai: = [[SideJacking]] = Santrumpa: = [[SideJacking]] = Žodis lietuviškai: = Išorinis laužimasis = Apibrėžimas: = Kompiuterių moksle, sesijos įsilaužimas yra galiojančios sesijos išnaudojimas – kartais vadinama sesijos raktu – tam, kad gauti neautorizuotą prieigą prie informacijos arba paslaugų kompiuterių sistemoje. Tiksliau tariant, įsilaužimu yra laikoma „cookie“ vagystė, kuri naudojama autentifikuoti vartotoją su nutolusiu serveriu. Tai turi ryšį su interneto puslapių programuotojais, kadangi HTTP „cookies“ yra naudojami išlaikyti sesiją daugelyje svetainių, kurie gali būti lengvai pavogti puolėjo, naudojant tarpinį kompiuterį su prieiga su išsaugotais „cookies“ aukos kompiuteryje. SideJacking - išorinis interneto paketų šnipinėjimo būdas (toliau SideJacking). „SideJacking“ yra įsilaužimo technika, kuri naudojama tam, kad gauti prieigą prie naudojamos svetainės vartotojo (angl. account). Svetainės paprastai užkoduoja prisijungimo slaptažodį, tačiau tada svetainė atgal siunčia neužkoduotą sesijos-id (angl. session-id). Sesijos-id yra arba kokie nors atsitiktiniai duomenys iš URL, arba kas pasitaiko dažniau, atsitiktiniai duomenys iš HTTP „cookie“. Hakeris, kuris randa sesijos-id, gali jį panaudoti, kad gautų prieigą prie atitinkamo vartotojo (angl. account). Tai leidžia hakeriui skaityti tavo elektroninį paštą, ką nusipirkai internetu, arba kontroliuoti tavo socialinį tinklalapį ir taip toliau. „SideJacking“ atveju – puolėjas seka tinklo paketus, kad galėtų stebėti tinklo srautą, tarp dviejų tarpininkų (Wi-Fi ir aukos kompiuterio), kad galėtų pavogti sesijos „cookie“. Tokio tipo atakos, kai atakuojantis yra tarp A ir B ir naudoja šnipinėjimo programą, kad stebėti tinklo srautą yra vadinamos „man-in-the-middle attacks“ Daugelis svetainių, kurios naudoja SSL neleidžia puolėjams pamatyti slaptažodžių, bet nenaudoja šifravimo toliau, kai svetainė atliko autentifikaciją. Tai leidžia puolėjui, kuris gali nuskaityti tinklo srautą, manipuliuoti visais duomenimis, kurie bus siunčiami į serverį arba interneto puslapius, matomus vartotojo. Kadangi šie duomenys turi „cookie“, tai leidžia puolėjui apsimesti auka, netgi kai slaptažodis nėra žinomas. Yra keturi pagrindiniai metodai, kurie naudojami įsilaužti į sesiją. Tai yra: Sesijos fiksacija, kur puolantis nusistato vartotojo sesijos id, kurį žino pulėjas, pavyzdžiui nusiusdamas vartotojui elektroninį paštą, kuriame yra nuoroda su tam tikru sesijos id. Puolėjas dabar tiktai turi palaukti kol auka prisijungs. Sesijos „sidejacking“, kur puolantis naudoja paketų šnipinėjimą, kad nuskaityti tinklo srautą tarp dviejų sesijos dalyvių (serverio ir vartotojo), kad pavogti sesijos „cookie“. „SideJacking“ potencialiomis aukomis tampa žmonės, naudojantys bevielį tinklą populiariose vietose kur yra atvira nemokama bevielio tinklo prieiga (angl. Wi-Fi), kaip pavyzdžiui, kavinės, viešbučiai. Alternatyviai, puolėjas turintis fizinę prieigą gali paprasčiausiai mėginti pavogti sesijos raktą, pavyzdžiui, gaudamas failą arba tam tikros dalies atminties dalį iš vartotojo kompiuterio arba serverio. XSS (angl. Cross-site scripting), kur puolėjas apgauna kompiuterį, priversdamas paleistį kodą, kuris yra laikomas patikimu, kadangi priklauso serveriui, kas leidžia atakuojančiam gauti „cookie“ kopiją arba atlikti kitas operacijas. XSS atakų pavyzdžiai: SQL skriptų injekcija, Java-Script skriptų injekciją.