आप अपने व्यवसाय को ध्यान में रखते हुए ऑनलाइन ब्राउज़ कर रहे हैं। आपके लिए अज्ञात, एक हमलावर आपके ब्राउज़िंग सत्र को हाईजैक करने की योजना बना रहा है। किस कारण के लिए? आपको आश्चर्य हो सकता है।

दुर्भावनापूर्ण इरादों के लिए आपकी संवेदनशील जानकारी चुराने के अलावा, हमलावर अधिक नुकसान पहुंचा सकते हैं और क्या आपने उनकी बोली लगाई है। यदि आप हताश हैं, तो आपको उनकी मांगों को मानने के लिए मजबूर होना पड़ सकता है।

एक सत्र अपहरण के परिणाम आपको इस तरह की घुसपैठ के खिलाफ अपने नेटवर्क की रक्षा करने के लिए प्रेरित करेंगे।

सत्र अपहरण क्या है?

हर बार जब आप किसी वेबसाइट में लॉग इन करते हैं, तो एक सत्र बनाया जाता है। यह सत्र आपके लिए एक सत्र आईडी बनाता है और आपकी जानकारी को कई पृष्ठों में उपयोग के लिए संग्रहीत करता है। यह बताता है कि आप प्रत्येक पृष्ठ पर अपना लॉगिन विवरण इनपुट किए बिना वेबसाइट के कई पृष्ठों पर नेविगेट क्यों कर सकते हैं।

साइबरस्पेस में, एक विशिष्ट सत्र उस क्षण से शुरू होता है जब कोई उपयोगकर्ता किसी गतिविधि को करने के लिए वेब सर्वर में लॉग इन करता है, और यह तब समाप्त होता है जब उपयोगकर्ता लॉग आउट करता है। जिस क्षण आप किसी वेबसाइट में लॉग इन करते हैं, ब्राउज़र एक अस्थायी सत्र कुकी को एक अनुस्मारक के रूप में स्थापित करता है जिसे आप प्रमाणित कर चुके हैं और अब लॉग इन कर चुके हैं। जब आप साइट से साइन आउट करते हैं, तो वेब सर्वर सत्र कुकीज़ को अमान्य कर देता है, इसलिए साइट को फिर से एक्सेस करने के लिए आपको अपना लॉगिन विवरण फिर से दर्ज करना होगा।

instagram viewer

एक सत्र अपहरण एक ऐसी स्थिति है जहां एक हमलावर द्वारा आपके सक्रिय वेब सत्र का अपहरण कर लिया जाता है। कुकी अपहरण के रूप में भी जाना जाता है, यह ज्यादातर आपके ब्राउज़र सत्रों और वेब अनुप्रयोगों पर निष्पादित होता है।

जब तक आप किसी साइट में लॉग इन होते हैं तब तक हमलावर आपके ब्राउज़िंग सत्र को हाईजैक कर सकते हैं और आपके संवेदनशील डेटा तक अनधिकृत पहुंच प्राप्त कर सकते हैं।

सत्र अपहरण होने की कोई सीमा नहीं है। यह तब हो सकता है जब आप अपने बैंकिंग ऐप पर लेन-देन कर रहे हों, ऑनलाइन खरीदारी कर रहे हों, या प्रियजनों के साथ बातचीत कर रहे हों, अपनी संवेदनशील जानकारी को डेटा के भूखे साइबर अपराधियों के सामने उजागर करना.

सत्र अपहरण कैसे काम करता है?

सत्र अपहरण को सफलतापूर्वक अंजाम देने के लिए हमलावरों के लिए, उन्हें अपने पीड़ितों की सत्र आईडी पता होनी चाहिए। उन्हें वह जानकारी कैसे मिलती है?

मान लें कि आपने एक पंजीकृत खाते के साथ एक वेबसाइट में लॉग इन किया है। यह एक क्रेडिट कार्ड वेबसाइट, सोशल नेटवर्क, ऑनलाइन स्टोर या वेब सेवा हो सकती है। जब आप लॉग इन होते हैं, तो वेबसाइट आपके ब्राउज़र की एक अस्थायी सत्र कुकी सेट करती है। यह सत्र कुकी आपके द्वारा लॉग इन करने के लिए उपयोग की गई जानकारी संग्रहीत करती है और वेबसाइट को आपकी जानकारी को सत्यापित करने और सत्र के दौरान आपकी गतिविधि को ट्रैक करते समय आपको लॉग इन रखने की अनुमति देती है।

हमलावर सत्र कुकी को चुराकर या आपको किसी दुर्भावनापूर्ण लिंक पर क्लिक करने का लालच देकर आपकी सत्र आईडी तक पहुंच प्राप्त कर सकते हैं जो एक पूर्वानुमानित सत्र आईडी छुपा रहा है। एक बार जब हमलावर को आपका सत्र आईडी मिल जाता है, तब भी वह आपके साथ लॉग इन होता है, तो वे आपके सत्र को हाईजैक कर सकते हैं। वे आपके ब्राउज़र पर चुराए गए सत्र आईडी का उपयोग कर सकते हैं, जो आपके रूप में प्रस्तुत करने के लिए अधिकृत किसी भी क्रिया को निष्पादित करने के लिए उपयोग कर सकते हैं।

सत्र अपहरण के तरीके क्या हैं?

हमलावर दुष्ट हो सकते हैं, लेकिन आपको उन्हें कुशल होने का श्रेय देना होगा। उपयोगकर्ताओं के सत्र आईडी को अपहृत करने या चोरी करने के लिए उनके पास कई तरकीबें हैं। उपयोग की जाने वाली सबसे आम विधियों में शामिल हैं:

1. क्रॉस-साइट स्क्रिप्टिंग (XSS)

क्रॉस-साइट स्क्रिप्टिंग प्रकार का हमला उपयोगकर्ता के सत्र को हाईजैक करने का सबसे आम तरीका है। यह लक्ष्य वेब सर्वर में सुरक्षा कमजोरियों का फायदा उठाता है.

इस मामले में, एक हमलावर दुर्भावनापूर्ण लिंक के रूप में आपके द्वारा देखे गए वेब पेजों पर एक स्क्रिप्ट इंजेक्शन भेजता है। जब आप लिंक पर क्लिक करते हैं, तो यह आपकी व्यक्तिगत जानकारी को हमलावर के पास भेज देता है। ऐसा तब हो सकता है जब किसी वेब एप्लिकेशन या वेबसाइट में उचित डेटा सैनिटाइजेशन न हो।

2. पाशविक बल

एक क्रूर बल के हमले में शामिल है हमलावर आपके पासवर्ड का सही अनुमान लगा रहा है. वे कई पासवर्ड तब तक दर्ज करते हैं जब तक कि वे सही पासवर्ड पर नहीं पहुंच जाते। एक क्रूर बल हमला, इस मामले में, उन वेबसाइटों पर अच्छा काम करता है जो सत्र कुंजियों का उपयोग करते हैं जिनका आसानी से अनुमान लगाया जा सकता है।

3. सत्र साइड-जैकिंग

सत्र साइड-जैकिंग में, हमलावर के पास लक्षित उपयोगकर्ता का नेटवर्क ट्रैफ़िक होना चाहिए। वे इसे मैन-इन-द-बीच हमले के माध्यम से या जब उपयोगकर्ता असुरक्षित वाई-फाई के साथ लॉग इन करने में सक्षम हो सकता है।

साइबर अपराधी चोरी करने के लिए सत्रों की तलाश में उपयोगकर्ता के ट्रैफ़िक का निरीक्षण करने के लिए पैकेट सूँघने का उपयोग करते हैं। यदि वेबसाइट पुराने एसएसएल प्रोटोकॉल का उपयोग करती है, तो हमलावर सत्र कुंजी चुरा सकते हैं और उपयोगकर्ताओं के सत्रों को हाईजैक कर सकते हैं और वेबसाइट पर उनका प्रतिरूपण कर सकते हैं।

4. सत्र निर्धारण

एक सत्र निर्धारण हमले के लिए एक हमलावर की आवश्यकता होती है जो आपके वेब एप्लिकेशन के सत्र आईडी को प्रबंधित करने के तरीके में एक दोष की खोज करता है। एक हमलावर आपको पहले से ज्ञात सत्र आईडी का उपयोग करने के लिए धोखा दे सकता है। जब आप इसका उपयोग करते हैं, तो वे उसी सत्र आईडी के साथ अपना अनुरोध करने के लिए आगे बढ़ते हैं जैसे कि वे सत्र आईडी के वास्तविक स्वामी हों।

5. मैलवेयर इंजेक्शन

एक हमलावर आपके डिवाइस पर मैलवेयर इंस्टॉल करके सीधे आप पर हमला कर सकता है जो उन्हें स्वचालित सत्र सूँघने में मदद करेगा। इस मैलवेयर में से कुछ को आपकी जानकारी के बिना दुर्भावनापूर्ण गतिविधियों को अंजाम देने के लिए प्रोग्राम किया गया है।

जब आप अपने रास्ते से भेजे गए दुर्भावनापूर्ण लिंक पर क्लिक करते हैं, तो यह आपके ट्रैफ़िक को स्कैन करेगा और आपकी सत्र कुकीज़ चुरा लेगा।

सत्र अपहरण को कैसे रोकें

सफल सत्र अपहरण से अन्य हानिकारक प्रभावों के साथ संवेदनशील डेटा और वित्तीय नुकसान होता है। वेबसाइट के मालिकों और उपयोगकर्ताओं को यह सुनिश्चित करने में भूमिका निभानी होगी कि उनकी सत्र कुकीज़ का अपहरण नहीं किया गया है।

अच्छी साइबर सुरक्षा प्रथाओं को विकसित करना आपके सत्रों की सुरक्षा करने में एक लंबा रास्ता तय करता है। यहां बताया गया है कि इसके बारे में कैसे जाना है।

वेबसाइट स्वामियों के लिए निवारक उपाय

यदि आप एक वेबसाइट के स्वामी हैं, तो निम्नलिखित युक्तियाँ आपकी वेबसाइट को सत्र अपहरण के विरुद्ध सुरक्षित करने में मदद करेंगी।

1. अपनी वेबसाइट पर HTTPS सक्षम करें

एक असुरक्षित वेबसाइट हमलावरों के लिए सत्र अपहरण करने का निमंत्रण है। एक वेबसाइट के स्वामी के रूप में, उपयोगकर्ताओं और सर्वरों के बीच डेटा संचार को सुरक्षित करने के लिए अद्यतन TLS एन्क्रिप्शन का उपयोग करके अपने वेब एप्लिकेशन को सुरक्षित करें। एचटीटीपीएस सक्षम करें। केवल होम पेज पर ही नहीं, बल्कि पूरे वेब पेज पर।

2. सत्र कुकीज़ प्रबंधित करने के लिए वेब फ्रेमवर्क का प्रयोग करें

लंबे यादृच्छिक सत्र आईडी का उपयोग करें जो कि क्रूर बल के हमलों से पता लगाना मुश्किल है। उन्हें स्वयं बनाने के बजाय, सत्र कुकीज़ बनाने और प्रबंधित करने के लिए वेब ढांचे का उपयोग करें।

3. प्रमाणीकरण के बाद सत्र आईडी संशोधित करें

उपयोगकर्ता के प्रमाणीकृत होने के बाद आपकी वेबसाइट पर सत्र आईडी पुन: जनरेट की जानी चाहिए। यदि साइबर अपराधियों द्वारा प्रारंभिक आईडी चुरा ली गई थी, तो पुनर्जनन इसे अमान्य बना देता है क्योंकि दूसरा फिर से बनाया जाता है।

4. अपनी वेबसाइट अपडेट करें

अपने आगंतुकों को ऑनलाइन कमजोरियों से बचाने और इसे नियमित रूप से अपडेट करने के लिए अपनी वेबसाइट पर विश्वसनीय मैलवेयर सॉफ़्टवेयर लागू करें। पुरानी वेबसाइटें कई कमजोरियों के लिए खुली हैं जिनका हमलावर फायदा उठा सकते हैं।

वेबसाइट उपयोगकर्ताओं के लिए निवारक उपाय

एक ऑनलाइन उपयोगकर्ता के रूप में, वेबसाइट ब्राउज़ करते समय सत्र अपहरण से सुरक्षित रहने का तरीका यहां बताया गया है।

एक वेब उपयोगकर्ता के रूप में, किसी वेबसाइट पर अनावश्यक लिंक क्लिक करने से बचें। यदि आप किसी लिंक के स्रोत के बारे में सुनिश्चित नहीं हैं, तो उसे अनदेखा करें। असत्यापित स्रोतों से आने वाले संदेशों या ईमेल से सावधान रहें जो आपसे लॉग इन करने या अपना लॉगिन विवरण बदलने का अनुरोध करते हैं।

2. खुले वायरलेस नेटवर्क से बचें

खुले हॉटस्पॉट या वायरलेस नेटवर्क आपको हमलावरों के नेटवर्क में लुभाने के लिए चारा हैं।

साइबर अपराधी समझते हैं कि लोग मुफ्त उपहार पसंद करते हैं, इसलिए वे शिकार पाने के लिए एक संक्रमित खुला वायरलेस नेटवर्क प्रदान करते हैं। यदि आपको किसी एक का उपयोग करना है, तो भुगतान लेनदेन करने या उस पर संवेदनशील जानकारी दर्ज करने से बचें।

3. सुरक्षित वेबसाइटों का उपयोग करें

HTTP वाली असुरक्षित वेबसाइटों में अधिकतम सुरक्षा का अभाव होता है और वे हैकर्स के आसान शिकार होते हैं। वे बिना अधिक प्रयास के आपके ब्राउज़िंग सत्र पर आक्रमण कर सकते हैं। अपने ऑनलाइन इंटरैक्शन के लिए हमेशा HTTPS के साथ सुरक्षित वेबसाइटों की तलाश करें।

4. सुरक्षा सॉफ्टवेयर स्थापित करें

ऑनलाइन गतिविधियों के लिए आपके द्वारा उपयोग किए जाने वाले उपकरणों पर सुरक्षा सॉफ़्टवेयर स्थापित करें। बस यहीं मत रुको। सुरक्षा सॉफ़्टवेयर को अपडेट करने का प्रयास करें—ऐसा करने से सत्र अपहरण करने के लिए उपयोग किए जाने वाले मैलवेयर से आपके उपकरण की सुरक्षा होती है।

सत्र अपहरण के खिलाफ चौतरफा सुरक्षा

एक औसत ऑनलाइन उपयोगकर्ता प्रतिदिन कई सत्र आरंभ करता है। प्रत्येक सत्र हमलावरों के लिए हड़ताल करने का अवसर है।

जब साइबर अपराधियों को आपके नेटवर्क में सेंध लगाने के अपने प्रयास में कोई प्रतिरोध नहीं मिलता है, तो वे ऐसा करने में संकोच नहीं करेंगे। वास्तव में, यह उन्हें शुरू में योजना की तुलना में अधिक तबाही मचाने का विश्वास दिलाएगा।

अपनी वेबसाइट पर या ऑनलाइन प्रत्येक सत्र को सावधानी के साथ व्यवहार करें; इस बात की बहुत अधिक संभावना है कि आप पहले से ही हमलावरों के निशाने पर हैं।

ब्रोकन लिंक हाईजैकिंग क्या है और आप इसे कैसे रोक सकते हैं?

यदि आप टूटे हुए बाहरी लिंक वाली वेबसाइट पर जाते हैं, तो हो सकता है कि साइबर अपराधियों द्वारा प्रतिष्ठा को नुकसान पहुंचाने और आपको धोखा देने के लिए उस साइट से समझौता किया गया हो।

आगे पढ़िए

साझा करनाकलरवईमेल
संबंधित विषय
  • सुरक्षा
  • ऑनलाइन सुरक्षा
  • सुरक्षा युक्तियाँ
  • नेटवर्क टिप्स
  • ब्राउज़र कुकीज़
लेखक के बारे में
क्रिस ओडोग्वु (41 लेख प्रकाशित)

क्रिस ओडोग्वु अपने लेखन के माध्यम से ज्ञान प्रदान करने के लिए प्रतिबद्ध हैं। एक भावुक लेखक, वह सहयोग, नेटवर्किंग और अन्य व्यावसायिक अवसरों के लिए खुला है। उनके पास मास कम्युनिकेशन (जनसंपर्क और विज्ञापन प्रमुख) में मास्टर डिग्री और मास कम्युनिकेशन में स्नातक की डिग्री है।

क्रिस ओडोग्वु. की और फ़िल्में या टीवी शो

हमारे न्यूज़लेटर की सदस्यता लें

तकनीकी युक्तियों, समीक्षाओं, निःशुल्क ई-पुस्तकों और अनन्य सौदों के लिए हमारे न्यूज़लेटर से जुड़ें!

सब्सक्राइब करने के लिए यहां क्लिक करें