A secure session management based on threat modeling

عندما يتصفح المستخدم شبكة الإنترنت فإن هنالك جلسة تستمر لفترة من الوقت تبدأ مع دخول المستخدم إلى الموقع و تنتهي هذه الجلسة عندما يغلق المستخدم الموقع. إن هذه الجلسة ستكون معرضة إلى الهجوم عن طريق السرقة أو التزوير. حيث أن لكل جلسة رقم معين سيستخدم لتحديدها و كذلك يستخدم للتخويل أيضا، و هذا يعني عند...

Full description

Saved in:
Bibliographic Details
Published in:Iraqi journal of science 2013, Vol.54 (4 (sup)), p.1176-1182
Main Author: Ismail, Rim Jafar
Format: Article
Language:ara ; eng
Subjects:
Computer networks
Security measures
Web sites
الإجراءات الأمنية
شبكات الحاسوب
مواقع الويب
Online Access:Get full text
Tags: Add Tag
No Tags, Be the first to tag this record!
Description
Summary:عندما يتصفح المستخدم شبكة الإنترنت فإن هنالك جلسة تستمر لفترة من الوقت تبدأ مع دخول المستخدم إلى الموقع و تنتهي هذه الجلسة عندما يغلق المستخدم الموقع. إن هذه الجلسة ستكون معرضة إلى الهجوم عن طريق السرقة أو التزوير. حيث أن لكل جلسة رقم معين سيستخدم لتحديدها و كذلك يستخدم للتخويل أيضا، و هذا يعني عند التحقق من المستخدم عن طريق اسم المستخدم أو كلمة السر فإن الجلسة ستكون محددة لذلك المستخدم المخول. إن رقم الجلسة سيكون عرضة للهجوم عن طريق الحصول على هذا الرقم و استخدامه و الدخول إلى الجلسة بدون أن يشك المستخدم بذلك. لذا يجب أن يكون هنالك أسلوب أمن في إدارة الجلسة يتم تنفيذه في مرحلة تصميم تطبيق الإنترنت و ليس بالاعتماد على مزود الخدمة فقط. أن نموذج التهديد سوف يحدد جميع التهديدات التي تتعرض لها البرامج مما يساعد المصممين عند التصميم على بناء نظام أمن خالي من التهديدات. في هذا البرنامج تم تصميم نموذج التهديدات الخاص بالتهديدات المؤثرة على رقم الجلسة باستخدام برنامج Seamonster لتصميم نماذج آمنه، ثم اقتراح نظام أمن لإدارة الجلسة. إن نظام إدارة الجلسة الآمن تم تصميمه لإعطاء ثقة و تخويل بين المستخدم و مزود الخدمة لتجنب الهجوم عن طريق استخدام رقم الجلسة و ذلك عن طريق الاعتماد على عنوان جهاز مستخدم الإنترنت حيث تم استخدام برنامج 2008 Visual Studio.Net لتنفيذ النظام المقترح. A session is a period of time linked to a user, which is initiated when he/she arrives at a web application and it ends when his/her browser is closed or after a certain time of inactivity. Attackers can hijack a user's session by exploiting session management vulnerabilities by means of session fixation and cross-site request forgery attacks. Very often, session IDs are not only identification tokens, but also authenticators. This means that upon login, users are authenticated based on their credentials (e.g., usernames/passwords or digital certificates) and issued session IDs that will effectively serve as temporary static passwords for accessing their sessions. This makes session IDs a very appealing target for attackers. In many cases, an attacker who manages to obtain a valid ID of user’s session can use it to directly enter that session – often without arising user’s suspicion. A secure session management must be implemented in the development phase of web applications because it is the responsibility of the web application, and not the underlying web server. Threat modeling is a systematic process that is used to identify threats and vulnerabilities in software and has become popular technique to help system designers think about the security threats that their system might face. In this pap
ISSN:0067-2904
2312-1637