En uno de los compromisos recientes, me topé con algo que no había visto antes: después de un intento de autenticación exitoso, el usuario todavía puede acceder a la página web de inicio de sesión e iniciar sesión como otro usuario.
En cierto sentido, no parecía ser un defecto de seguridad, ya que una vez que inicias sesión como otra persona, tu ID de sesión se vuelve a escribir.
¿Qué piensas, es más una falla lógica o hay alguna forma de explotarla que no haya pensado?
Este puede puede darse el caso de que la sesión del usuario original continúe en el servidor y la clave de la sesión original continúe siendo aceptable (incluso si no está disponible en una cookie). Algunos riesgos de seguridad minor que involucran dejar el lado de las sesiones del lado del servidor incluyen aumentar la ventana de tiempo donde es posible el secuestro de una sesión y no liberar los recursos no utilizados del lado del servidor. Como dije, estos son bastante menores y se tratan cada vez que un usuario se aleja del sitio sin desconectarse primero.
Tenga en cuenta que el sitio puede estar cerrando la sesión en el servidor antes de ejecutar la segunda autenticación. Para determinar lo que realmente está sucediendo, debe tener acceso al código del lado del servidor o ejecutar una prueba en la que capture el ID de sesión antes de volver a autenticarse, volver a autenticarse y luego intentar volver a conectarse con el ID de sesión inicial.
Esto no parece ser una vulnerabilidad. Incluso si permitiera que un usuario inicie sesión varias veces en la misma página, esto no implica fallas de seguridad, ya que la sesión y la administración de usuarios podrían ser seguras. Sin embargo, el inicio de sesión como usuarios múltiples es un defecto de diseño. Si puede volver a iniciar sesión como usuario conectado, el panel debe ser rediseñado para mostrar su perfil, etc., incluido un botón de cierre de sesión en lugar del formulario de inicio de sesión.
Lea otras preguntas en las etiquetas authentication exploit design-flaw