Medida preventiva para detectar ataques de fijación de sesión

Question

Medida preventiva para detectar ataques de fijación de sesión

#1 de Adi (6 votos)

1

A mi entender, si no me equivoco en los ataques de fijación de sesión. El atacante inicia sesión en el servidor como un usuario legítimo y crea una sesión válida. A continuación, le indica al usuario comprometido que utilice su sesión que ya se ha corregido. Mi pregunta es cómo detectar los ataques de fijación de sesión, una posible solución que tengo en mente

Vincular el identificador de sesión con la IP de origen, ya que esto es posible con WAF como Modsecurity

El problema con este enfoque puede tener un alto nivel de falsos positivos, ya que el cliente puede usar un servidor proxy o se le puede asignar una dirección IP dinámica que puede cambiar durante la sesión.

session-management session-fixation

pregunta Ali Ahmad 16.06.2013 - 12:31

fuente

1 respuesta

Lea otras preguntas en las etiquetas session-management session-fixation

Quiero eliminar mi lista de acceso WAP Seguridad del cliente frente al servidor para aplicaciones empresariales críticas (plataforma cruzada)

score 6 · Accepted Answer

No es así como funciona un ataque de fijación de sesión. El atacante primero debe engañar al usuario para que visite el sitio web utilizando una sesión predeterminada. Por ejemplo, podría engañarlo para que haga clic en un enlace acortado http://example.com/index.php?PHPSSIDE=BLAHBLAHBLAH . Si inicia sesión en example.com ahora, su sesión será identificada por BLAHBLAHBLAH . Entonces simplemente utilizaría el mismo identificador e iniciar sesión en su sesión. Otros métodos incluyen un subdominio no confiable que asigna una cookie de sesión para otro subdominio.

Si confía en sus subdominios, basta con configurar su servidor web para que no use identificadores de sesión (por ejemplo, PHPSSID ) en GET o POST. La vinculación de la sesión con una dirección IP, la actualización del identificador y la caducidad de la sesión también son buenas capas adicionales de protección contra la sesión de secuestro .

Al implementar una función de seguridad, siempre piense en la mayoría de sus usuarios. Aquellos 90% o más, cuyo IP no cambiará ni un millón de veces durante la sesión, aquellos que no tendrán sus sesiones constantemente secuestradas. Para el otro 10%, está bien mostrarles un formulario de re autenticación (ingresando la contraseña nuevamente) cuando suceda algo engañoso.