¿Debe considerarse que la capacidad de acceder a la página de inicio de sesión después de la autenticación es una falla de seguridad?

3

En uno de los compromisos recientes, me topé con algo que no había visto antes: después de un intento de autenticación exitoso, el usuario todavía puede acceder a la página web de inicio de sesión e iniciar sesión como otro usuario.

En cierto sentido, no parecía ser un defecto de seguridad, ya que una vez que inicias sesión como otra persona, tu ID de sesión se vuelve a escribir.

¿Qué piensas, es más una falla lógica o hay alguna forma de explotarla que no haya pensado?

    
pregunta Alex S. 20.03.2016 - 20:58
fuente

2 respuestas

1

Este puede puede darse el caso de que la sesión del usuario original continúe en el servidor y la clave de la sesión original continúe siendo aceptable (incluso si no está disponible en una cookie). Algunos riesgos de seguridad minor que involucran dejar el lado de las sesiones del lado del servidor incluyen aumentar la ventana de tiempo donde es posible el secuestro de una sesión y no liberar los recursos no utilizados del lado del servidor. Como dije, estos son bastante menores y se tratan cada vez que un usuario se aleja del sitio sin desconectarse primero.

Tenga en cuenta que el sitio puede estar cerrando la sesión en el servidor antes de ejecutar la segunda autenticación. Para determinar lo que realmente está sucediendo, debe tener acceso al código del lado del servidor o ejecutar una prueba en la que capture el ID de sesión antes de volver a autenticarse, volver a autenticarse y luego intentar volver a conectarse con el ID de sesión inicial.

    
respondido por el Neil Smithline 20.03.2016 - 21:56
fuente
1

Esto no parece ser una vulnerabilidad. Incluso si permitiera que un usuario inicie sesión varias veces en la misma página, esto no implica fallas de seguridad, ya que la sesión y la administración de usuarios podrían ser seguras. Sin embargo, el inicio de sesión como usuarios múltiples es un defecto de diseño. Si puede volver a iniciar sesión como usuario conectado, el panel debe ser rediseñado para mostrar su perfil, etc., incluido un botón de cierre de sesión en lugar del formulario de inicio de sesión.

    
respondido por el AdHominem 20.03.2016 - 21:20
fuente

Lea otras preguntas en las etiquetas