Photo Photo Photo Photo Photo Photo

Print
E-mail
Computer Science: A Secure Session Management Based on Threat Modeling

 

A Secure Session Management Based on Threat Modeling

Reem Jafar Ismail*

Departement of Computer Science, University of Technology, Baghdad, Iraq.

Abstract

   A session is a period of time linked to a user, which is initiated when he/she arrives at a web application and it ends when his/her browser is closed or after a certain time of inactivity. Attackers can hijack a user's session by exploiting session management vulnerabilities by means of session fixation and cross-site request forgery attacks.

   Very often, session IDs are not only identification tokens, but also authenticators. This means that upon login, users are authenticated based on their credentials (e.g., usernames/passwords or digital certificates) and issued session IDs that will effectively serve as temporary static passwords for accessing their sessions. This makes session IDs a very appealing target for attackers. In many cases, an attacker who manages to obtain a valid ID of user’s session can use it to directly enter that session – often without arising user’s suspicion. A secure session management must be implemented in the development phase of web applications because it is the responsibility of the web application, and not the underlying web server.

   Threat modeling is a systematic process that is used to identify threats and vulnerabilities in software and has become popular technique to help system designers think about the security threats that their system might face.

   In this paper we design the threat modeling for session’s ID threat by using SeaMonster security modeling software, and then propose a secure session management that avoids the vulnerabilities. The proposed secure session management is designed to give trust authentication between the client and the server to avoid session hijacing attack by using both: server session’s ID and MAC address of the client.Visual Studio. Net 2008 is used in implementing the proposed system.

نظام أمن لادارة الجلسة بالاعتماد على نموذج التهديدات

ريم جعفر اسماعيل

قسم علوم الحاسوب، الجامعة التكنولوجية، بغداد، العراق

الخلاصة:

   عندما يتصفح المستخدم شبكة الانترنت فان هنالك جلسة تستمر لفترة من الوقت تبدأ مع دخول المستخدم الى الموقع وتنتهي هذه الجلسة عندما يغلق المستخدم الموقع. ان هذه الجلسة ستكون معرضة الى الهجوم عن طريق السرقة او التزوير.

   حيث ان لكل جلسة رقم معين سيستخدم لتحديدها وكذلك يستخدم للتخويل ايضا، وهذا يعني عند التحقق من المستخدم عن طريق اسم المستخدم او كلمة السر فان الجلسة ستكون محددة لذلك المستخدم المخول. ان رقم الجلسة سيكون عرضة للهجوم عن طريق الحصول على هذا الرقم واستخدامه والدخول الى الجلسة بدون ان يشك المستخدم بذلك.

لذا يجب ان يكون هنالك اسلوب امن في ادارة الجلسة يتم تنفيذه في مرحلة تصميم تطبيق الانترنت وليس بالاعتماد على مزود الخدمة فقط. ان نموذج التهديد سوف يحدد جميع التهديدات التي تتعرض لها البرامج مما يساعد المصممين عند التصميم على بناء نظام امن خالي من التهديدات.

   فــــي هـــــــــــذا البــحث تــــم تـــصميم نـــــموذج التهديدات الخـــــــاص بالتهديدات المؤثــــــــرة عــلى رقــــم الجلســة باستخدام بــــــــرنـــــامـــــح SeaMonster لتصميم نماذج امنه، ثم اقتراح نظام امن لادارة الجلسة. ان نظام ادارة الجلسة الامن تم تصميمه لاعطاء ثقة وتخويل بين المستخدم ومزود الخدمة لتجنب الهجوم عن طريق استخدام رقم الجلسة وذلك عن طريق الاعتماد على عنوان جهاز مستخدم الانترنت حيث تم استخدام برنامج2008 Visual Studio.Net لتنفيذ النظام المقترح.

 

 

alt

 

S5 Box

Login



Register

*
*
*
*
*

Fields marked with an asterisk (*) are required.