حملات مرد میانی (MitM) نوعی حمله on-path است که در آن مهاجم بین دو طرف در حال ارتباط قرار می‌گیرد و امکان رهگیری، تغییر یا تزریق داده را دارد. برخلاف مهاجمان off-path که فقط می‌توانند بسته‌ها را جعل کنند، مهاجمان MitM قابلیت مشاهده و دستکاری کامل را دارند.

سرقت نشست (session hijacking) نوع شدید از MitM است که در آن مهاجم توکن نشست فعال کاربر را می‌دزدد. در زمینه IoT، "سرقت نشست یک حمله سایبری است که در آن مهاجم کنترل یک نشست معتبر بین یک دستگاه IoT و برنامه یا سرور متصل به آن را به دست می‌آورد" .

سرقت نشست از طریق وکتورهای مختلفی رخ می‌دهد که اغلب نقاط ضعف مدیریت نشست و ارتباط شبکه را اکسپلویت می‌کنند. در برنامه‌های وب، توکن نشست (اغلب در کوکی ذخیره می‌شود) به عنوان رمز عبور برای درخواست‌های بعدی عمل می‌کند.

تکنیک‌های رایج شامل Cross-Site Scripting (XSS)، Cross-Site Request Forgery (CSRF)، packet sniffing و session fixation هستند. آسیب‌پذیری‌های Session Lingering (SLV) شکافی خطرناک ایجاد می‌کنند که در آن نشست‌ها پس از عملیات حساس مانند تغییر رمز عبور باقی می‌مانند.

تأثیرات سرقت نشست شدید است و حوزه‌های متعددی را در بر می‌گیرد. در برنامه‌های وب، مطالعه‌ای در سال ۲۰۲۵ بر روی سیستم‌های جاوا نشان داد که SLVها در ۱۵ برنامه محبوب وجود دارند.

در IoT، سرقت نشست به نقض‌های دنیای واقعی مانند دوربین‌های Eufy و حادثه Verkada مرتبط شده است. در شبکه‌های 5G، حملات MitM لایه فیزیکی را تهدید می‌کنند.

دفاع در برابر سرقت نشست مبتنی بر MitM نیازمند یک رویکرد چندلایه است. اولاً، رمزنگاری اساسی است: تمام ترافیک باید از HTTPS/TLS استفاده کند.

ثانیاً، روش‌های مدیریت نشست امن ضروری هستند: نشست‌ها باید بلافاصله پس از عملیات حساس مانند تغییر رمز عبور، خروج از سیستم یا حذف حساب، باطل شوند.

ثالثاً، مکانیزم‌های امنیتی کوکی مانند پرچم‌های HttpOnly، Secure و SameSite می‌توانند سرقت از طریق XSS و CSRF را کاهش دهند.

سرقت نشست در حملات مرد میانی همچنان یک تهدید حیاتی و در حال تحول برای برنامه‌های وب، اکوسیستم‌های IoT و شبکه‌های نسل بعدی است.

دفاع مؤثر نیازمند یک استراتژی جامع است: اجرای رمزنگاری، پیاده‌سازی مدیریت چرخه حیات نشست امن، اتخاذ ویژگی‌های امنیتی کوکی و بهره‌گیری از روش‌های تشخیص پیشرفته.