Session Hijacking

Was ist Session Hijacking?

Session Hijacking ist ein Angriff, bei dem ein Angreifer eine aktive Sitzung eines legitimen Benutzers kapert, um sich Zugriff auf dessen Ressourcen und Berechtigungen zu verschaffen. Dies geschieht meist durch das Abfangen gültiger Session-Tokens oder Cookies, die für die Authentifizierung innerhalb von Webanwendungen verwendet werden.

Angriffe erfolgen häufig über Man-in-the-Middle (MITM), Man-in-the-Browser (MITB), unsichere WLANs, Session Replay oder schadhafte Browser-Erweiterungen. Das gestohlene Token wird anschließend verwendet, um sich als das Opfer auszugeben – ohne erneute Authentifizierung.

Wichtige Session-Hijacking-Ressourcen

• HTTPS/TLS-Verschlüsselung
  → Pflicht zur Absicherung der gesamten Session-Kommunikation gegen MITM-Angriffe.

• Secure Cookie-Attribute
  → HttpOnly, Secure und SameSite verhindern Auslesen und unerlaubten Zugriff.

• Session-Rotation & Timeout-Strategien
  → Regelmäßiges Erneuern der Session-ID und automatische Beendigung inaktiver Sitzungen.

• Intrusion Prevention Systeme (IPS)
  → Erkennen Anomalien im Session-Verhalten und blockieren auffällige Muster.

• Device Binding & Geo-Fencing
  → Einschränkung von Sessions auf bekannte Geräte oder geografische Zonen.

Anwendung in der Praxis

• Sniffing-Prevention: TLS wird strikt durchgesetzt, selbst für Assets und APIs.

• Cookie Hardening: Session-Cookies enthalten keinen JavaScript-Zugriff und sind auf HTTPS limitiert.

• Verhaltensanalyse: Ungewöhnliche Session-Wechsel oder Standortänderungen führen zur Session-Termination.

• Security Awareness: Anwender werden geschult, keine Links in ungesicherten WLANs zu öffnen.

• Token-Management: Access Tokens erhalten kurze Lebensdauer und Refresh-Mechanismen.

Verwandte Begriffe

• Session Fixation

• Secure Coding

• HTTPS

• Authentication Protocol

• Intrusion Prevention Systeme

Beispiel aus der Praxis

Ein Nutzer meldet sich von einem öffentlichen WLAN aus bei einer Banking-App an. Obwohl HTTPS aktiviert ist, lädt ein eingebettetes Drittanbieter-Skript Inhalte über HTTP. Ein Angreifer fängt über eine MITM-Position den Session-Cookie ab und übernimmt die Sitzung. In der Folge führt er Überweisungen im Namen des Opfers durch. Das Unternehmen verschärft daraufhin die TLS-Konfiguration, aktiviert SameSite=Strict für Cookies und implementiert Geo-IP-basiertes Session-Monitoring zur Anomalieerkennung.