وظیفه اصلی لایه نشست یا Session ایجاد کردن ، نگهداری کردن و پایان بخشیدن به یک Session ارتباطی است اما در همه موارد از جمله ایجاد کردن ، مدیریت کردن و اتمام یک Session اطلاعاتی امکان شنود ، جعل و … وجود دارد .اگر از مکانیزم های احراز هویت ضعیفی در این لایه استفاده شود امکان شنود شدن و بدست آوردن اطلاعات هویتی طرفیت بسیار ممکن است ، تصور کنید که نام کاربری و رمز عبور شما در هنگام برقراری ارتباط با یک وب سرور بصورت رمزنگاری نشده یا Clear Text رد و بدل شود و همین امر ممکن است کل Session شما را تحت تاثیر قرار دهد. حملات Brute Force و MITM از جمله دیگر حملاتی هستند که در این لایه انجام می شود ، از جمله تهدیدات و راهکارهای مقابله ای که در حوزه امنیت اطلاعات می توان در این لایه متصور بود می توانیم به موارد زیر اشاره کنیم :
استفاده از مکانیزم های احراز هویت ضعیف یا عدم استفاده از مکانیزم های احراز هویت
ارسال اطلاعات هویتی بصورت رمزنگاری نشده یا Clear Text
شناسایی شدن Session ارتباطی و Hijack شدن Session
امکان بروز حملات Brute Force و MITM
اما شما به عنوان یک کارشناس امنیت اطلاعات و ارتباطات بایستی موارد زیر را برای جلوگیری از بروز چنین حملاتی در نظر داشته باشید :
استفاده و ذخیره سازی رمزنگاری شده رمزهای عبور
استفاده از ساختار Ticketing و زمانبندی برای منقضی شدن Session ها
محدود کردن زمان و تعداد Session و رمزنگاری Session ارتباطی
