బహుళ-కారకాల ప్రామాణీకరణ క్లౌడ్ సేవలకు భద్రత యొక్క అదనపు పొరలను జోడిస్తుంది, అయితే ఇది ఎల్లప్పుడూ ఫూల్ప్రూఫ్ కాదు. ప్రజలు ఇప్పుడు MFA చుట్టూ చేరుకోవడానికి మరియు మీ క్లౌడ్ సేవలకు యాక్సెస్ పొందడానికి పాస్-ది-కుకీ దాడులను చేస్తున్నారు. వారు ప్రవేశించిన తర్వాత, వారు మీ సున్నితమైన డేటాను దొంగిలించవచ్చు, వెలికితీయవచ్చు లేదా గుప్తీకరించవచ్చు.
ఆనాటి MUO వీడియో కంటెంట్తో కొనసాగడానికి స్క్రోల్ చేయండి
అయితే పాస్-ది-కుకీ దాడి అంటే ఏమిటి, అది ఎలా పని చేస్తుంది మరియు దాని నుండి మిమ్మల్ని మీరు రక్షించుకోవడానికి మీరు ఏమి చేయవచ్చు? తెలుసుకుందాం.
పాస్-ది-కుకీ అటాక్ అంటే ఏమిటి?
ప్రమాణీకరణను దాటవేయడానికి సెషన్ కుక్కీని ఉపయోగించడం పాస్-ది-కుకీ దాడి అంటారు.
ఒక వినియోగదారు వెబ్ అప్లికేషన్కు లాగిన్ చేయడానికి ప్రయత్నించినప్పుడు, అప్లికేషన్ వినియోగదారుని వారి వినియోగదారు పేరు మరియు పాస్వర్డ్ను నమోదు చేయమని అడుగుతుంది. వినియోగదారు బహుళ-కారకాల ప్రమాణీకరణను ప్రారంభించినట్లయితే, వారు వారి ఇమెయిల్ చిరునామా లేదా ఫోన్ నంబర్కు పంపిన కోడ్ వంటి అదనపు ప్రమాణీకరణ కారకాన్ని సమర్పించాల్సి ఉంటుంది.
వినియోగదారు బహుళ-కారకాల ప్రమాణీకరణను ఆమోదించిన తర్వాత, సెషన్ కుక్కీ సృష్టించబడుతుంది మరియు వినియోగదారు వెబ్ బ్రౌజర్లో నిల్వ చేయబడుతుంది. ఈ సెషన్ కుక్కీ వినియోగదారు వెబ్ అప్లికేషన్ యొక్క కొత్త పేజీకి నావిగేట్ చేసినప్పుడల్లా మళ్లీ మళ్లీ ప్రామాణీకరణ ప్రక్రియ ద్వారా వెళ్లే బదులు సైన్ ఇన్ చేయడానికి అనుమతిస్తుంది.
సెషన్ కుక్కీలు వినియోగదారు అనుభవాన్ని సులభతరం చేస్తాయి, ఎందుకంటే వినియోగదారు వెబ్ అప్లికేషన్ యొక్క తదుపరి పేజీకి వెళ్ళిన ప్రతిసారీ తిరిగి ప్రామాణీకరించవలసిన అవసరం లేదు. కానీ సెషన్ కుక్కీలు కూడా తీవ్రమైన భద్రతా ముప్పును కలిగిస్తాయి.
ఎవరైనా సెషన్ కుక్కీలను దొంగిలించి, ఆ కుక్కీలను వారి బ్రౌజర్లలోకి ఇంజెక్ట్ చేయగలిగితే, వెబ్ అప్లికేషన్లు సెషన్ కుక్కీలను విశ్వసిస్తాయి మరియు దొంగకు పూర్తి ప్రాప్యతను మంజూరు చేస్తాయి.
దాడి చేసే వ్యక్తి మీ Microsoft Azure, Amazon వెబ్ సర్వీసెస్ లేదా Google క్లౌడ్ ఖాతాకు యాక్సెస్ను పొందినట్లయితే, వారు కోలుకోలేని నష్టాన్ని కలిగించవచ్చు.
పాస్-ది-కుకీ అటాక్ ఎలా పనిచేస్తుంది
ఎవరైనా పాస్-ది-కుకీ దాడిని ఎలా నిర్వహిస్తారో ఇక్కడ ఉంది.
సెషన్ కుకీని సంగ్రహించడం
పాస్-ది-కుకీ దాడిని నిర్వహించడంలో మొదటి దశ వినియోగదారు సెషన్ కుక్కీని సంగ్రహించడం. సెషన్ కుక్కీలను దొంగిలించడానికి హ్యాకర్లు ఉపయోగించే వివిధ పద్ధతులు ఉన్నాయి క్రాస్-సైట్ స్క్రిప్టింగ్ , ఫిషింగ్, మ్యాన్-ఇన్-ది-మిడిల్ (MITM) దాడులు , లేదా ట్రోజన్ దాడులు .
హానికరమైన నటులు ఈ రోజుల్లో దొంగిలించబడిన సెషన్ కుక్కీలను డార్క్ వెబ్లో విక్రయిస్తున్నారు. వినియోగదారుల సెషన్ కుక్కీలను సంగ్రహించడానికి సైబర్ నేరగాళ్లు ప్రయత్నాలు చేయనవసరం లేదని దీని అర్థం. దొంగిలించబడిన కుక్కీలను కొనుగోలు చేయడం ద్వారా, సైబర్ నేరస్థులు బాధితుడి రహస్య డేటా మరియు సున్నితమైన సమాచారాన్ని యాక్సెస్ చేయడం కోసం పాస్-ది-కుకీ దాడిని సులభంగా ప్లాన్ చేయవచ్చు.
కుకీని పాస్ చేస్తోంది
చొరబాటుదారు వినియోగదారు సెషన్ కుక్కీని కలిగి ఉంటే, వారు కొత్త సెషన్ను ప్రారంభించడానికి దొంగిలించబడిన కుక్కీని వారి వెబ్ బ్రౌజర్లోకి ఇంజెక్ట్ చేస్తారు. చట్టబద్ధమైన వినియోగదారు సెషన్ను ప్రారంభిస్తున్నారని వెబ్ అప్లికేషన్ భావించి, యాక్సెస్ని మంజూరు చేస్తుంది.
ప్రతి వెబ్ బ్రౌజర్ సెషన్ కుక్కీలను విభిన్నంగా నిర్వహిస్తుంది. Mozilla Firefoxలో నిల్వ చేయబడిన సెషన్ కుక్కీలు Google Chromeకి కనిపించవు. మరియు వినియోగదారు లాగ్ ఆఫ్ అయినప్పుడు, సెషన్ కుక్కీ స్వయంచాలకంగా గడువు ముగుస్తుంది.
వినియోగదారు లాగ్ ఆఫ్ చేయకుండానే బ్రౌజర్ను మూసివేస్తే, మీ బ్రౌజర్ సెట్టింగ్లను బట్టి సెషన్ కుక్కీలు తొలగించబడవచ్చు. వినియోగదారు ఆపివేసిన చోటనే కొనసాగించేలా బ్రౌజర్ను సెట్ చేసినట్లయితే, వెబ్ బ్రౌజర్ సెషన్ కుక్కీలను తొలగించకపోవచ్చు. వెబ్ అప్లికేషన్ నుండి లాగ్ ఆఫ్ చేయకుండా బ్రౌజర్ను షట్ డౌన్ చేయడం కంటే సెషన్ కుక్కీలను క్లియర్ చేయడానికి లాగింగ్ అనేది మరింత నమ్మదగిన మార్గం అని దీని అర్థం.
పాస్-ది-కుకీ దాడులను ఎలా తగ్గించాలి
పాస్-ది-కుకీ దాడులను నిరోధించడానికి ఇక్కడ కొన్ని మార్గాలు ఉన్నాయి.
క్లయింట్ సర్టిఫికేట్లను అమలు చేయండి
మీరు పాస్-ది-కుకీ దాడుల నుండి మీ వినియోగదారులను రక్షించాలనుకుంటే, వారికి నిరంతర టోకెన్ ఇవ్వడం మంచి ఆలోచన. మరియు ఈ టోకెన్ ప్రతి సర్వర్ కనెక్షన్ అభ్యర్థనకు జోడించబడుతుంది.
మీరు సిస్టమ్లో నిల్వ చేసిన క్లయింట్ సర్టిఫికేట్లను ఉపయోగించడం ద్వారా వారు క్లెయిమ్ చేసే వారు కాదా అని నిర్ధారించడం ద్వారా దీన్ని చేయవచ్చు. క్లయింట్ వారి సర్టిఫికేట్ను ఉపయోగించి సర్వర్ కనెక్షన్ అభ్యర్థనను చేసినప్పుడు, మీ వెబ్ అప్లికేషన్ సర్టిఫికేట్ యొక్క మూలాన్ని గుర్తించడానికి మరియు క్లయింట్కు ప్రాప్యతను అనుమతించాలా వద్దా అని నిర్ధారించడానికి ప్రమాణపత్రాన్ని ఉపయోగిస్తుంది.
పాస్-ది-కుకీ దాడులను ఎదుర్కోవడానికి ఇది సురక్షితమైన పద్ధతి అయినప్పటికీ, పరిమిత సంఖ్యలో వినియోగదారులను కలిగి ఉన్న వెబ్ అప్లికేషన్లకు మాత్రమే ఇది అనుకూలంగా ఉంటుంది. అపారమైన వినియోగదారులతో ఉన్న వెబ్ అప్లికేషన్లు క్లయింట్ సర్టిఫికేట్లను అమలు చేయడం చాలా సవాలుగా ఉంది.
ఉదాహరణకు, ఈకామర్స్ వెబ్సైట్కు ప్రపంచవ్యాప్తంగా వినియోగదారులు ఉన్నారు. ప్రతి దుకాణదారునికి క్లయింట్ సర్టిఫికేట్లను అమలు చేయడం ఎంత కష్టమో ఊహించండి.
కనెక్షన్ అభ్యర్థనలకు మరిన్ని సందర్భాలను జోడించండి
అభ్యర్థనను ధృవీకరించడానికి సర్వర్ కనెక్షన్ అభ్యర్థనలకు మరిన్ని సందర్భాలను జోడించడం అనేది పాస్-ది-కుకీ దాడులను నిరోధించడానికి మరొక మార్గం.
ఉదాహరణకు, కొన్ని కంపెనీలు తమ వెబ్ అప్లికేషన్లకు యాక్సెస్ను మంజూరు చేయడానికి ముందు వినియోగదారు యొక్క IP చిరునామాను కలిగి ఉంటాయి.
cpu కోసం ఎంత వేడిగా ఉంటుంది
ఈ పద్ధతి యొక్క ప్రతికూలత ఏమిటంటే దాడి చేసే వ్యక్తి విమానాశ్రయం, లైబ్రరీ, కాఫీ షాప్ లేదా సంస్థ వంటి బహిరంగ ప్రదేశంలో ఉండవచ్చు. అటువంటప్పుడు, సైబర్క్రిమినల్ మరియు చట్టబద్ధమైన వినియోగదారు ఇద్దరికీ యాక్సెస్ మంజూరు చేయబడుతుంది.
బ్రౌజర్ వేలిముద్రను ఉపయోగించండి
మీరు సాధారణంగా కోరుకోవచ్చు బ్రౌజర్ వేలిముద్రకు వ్యతిరేకంగా రక్షించండి , ఇది వాస్తవానికి పాస్-ది-కుకీ దాడులతో పోరాడడంలో మీకు సహాయపడుతుంది. కనెక్షన్ అభ్యర్థనలకు మరింత సందర్భాన్ని జోడించడానికి బ్రౌజర్ వేలిముద్ర మిమ్మల్ని అనుమతిస్తుంది. బ్రౌజర్ సంస్కరణ, ఆపరేటింగ్ సిస్టమ్, వినియోగదారు పరికర నమూనా, ప్రాధాన్య భాష సెట్టింగ్లు మరియు బ్రౌజర్ పొడిగింపుల వంటి సమాచారం వినియోగదారుని ఖచ్చితంగా క్లెయిమ్ చేసే వ్యక్తి అని నిర్ధారించడానికి ఏదైనా అభ్యర్థన యొక్క సందర్భాన్ని గుర్తించడానికి ఉపయోగించవచ్చు.
కుకీలు తరచుగా వినియోగదారులను ట్రాక్ చేయడానికి ఉపయోగించబడుతున్నందున అవి చెడ్డ పేరును పొందాయి, కానీ అవి వాటిని నిలిపివేయడానికి ఎంపికలు. దీనికి విరుద్ధంగా, మీరు ఏదైనా కనెక్షన్ అభ్యర్థనకు గుర్తింపు సందర్భం యొక్క మూలకం వలె బ్రౌజర్ వేలిముద్రను అమలు చేసినప్పుడు, మీరు ఎంపిక ఎంపికను తీసివేస్తారు, అంటే వినియోగదారులు బ్రౌజర్ వేలిముద్రను నిలిపివేయలేరు లేదా నిరోధించలేరు.
థ్రెట్ డిటెక్షన్ టూల్ ఉపయోగించండి
హానికరంగా ఉపయోగించబడుతున్న ఖాతాలను గుర్తించడానికి ముప్పు గుర్తింపు సాధనాన్ని ఉపయోగించడం ఒక అద్భుతమైన మార్గం.
ఒక మంచి సైబర్ సెక్యూరిటీ టూల్ మీ నెట్వర్క్ను ముందుగానే స్కాన్ చేస్తుంది మరియు ఏదైనా అసాధారణమైన కార్యకలాపం గురించి ఏదైనా గణనీయమైన నష్టాన్ని కలిగించే ముందు మిమ్మల్ని హెచ్చరిస్తుంది.
పాస్-ది-కుకీ దాడిని తగ్గించడానికి భద్రతను పటిష్టం చేయండి
పాస్-ది-కుకీ దాడులు తీవ్రమైన భద్రతా ముప్పు. దాడి చేసే వ్యక్తులు డేటాను యాక్సెస్ చేయడానికి మీ వినియోగదారు పేరు, పాస్వర్డ్ లేదా ఏదైనా ఇతర అదనపు ప్రమాణీకరణ కారకాన్ని తెలుసుకోవాల్సిన అవసరం లేదు. వారు మీ సెషన్ కుక్కీలను దొంగిలించవలసి ఉంటుంది మరియు వారు మీ క్లౌడ్ వాతావరణాన్ని నమోదు చేయవచ్చు మరియు సున్నితమైన డేటాను దొంగిలించవచ్చు, గుప్తీకరించవచ్చు లేదా వెలికితీయవచ్చు.
అధ్వాన్నమైన విషయం ఏమిటంటే, కొన్ని సందర్భాల్లో, ఒక వినియోగదారు వారి బ్రౌజర్ను మూసివేసినప్పుడు కూడా హ్యాకర్ పాస్-ది-కుకీ దాడిని చేయవచ్చు. కాబట్టి మీరు పాస్-ది-కుకీ దాడులను నిరోధించడానికి అవసరమైన భద్రతా చర్యలను తీసుకోవడం చాలా కీలకం. అలాగే, మీ వినియోగదారులకు MFA ఫెటీగ్ దాడుల గురించి అవగాహన కల్పించండి, దీనిలో హ్యాకర్లు వినియోగదారులకు వాటిని తగ్గించడానికి పుష్ నోటిఫికేషన్లను పంపుతారు.