¿Por qué mantendría múltiples ID de sesión en una aplicación?

1

Hay una aplicación web y estoy observando los valores de las cookies después de la autenticación con el proxy Burp. Hay 5 cookies diferentes, por ejemplo, c1 , c2 , c3 , c4 , c5 .

Cuando manipulé los valores de c1 , c2 y c3 , obtuve una respuesta de 200 OK, lo que significa que estas cookies no contienen información de la sesión.
Cuando manipulé los valores de c4 y c5 , obtuve una respuesta 302 y fui redirigido a la página de inicio de sesión. Esto significa que c4 y c5 son ID de sesión.

Mis preguntas son:

  1. ¿Tengo entendido que el sitio mantiene más de una ID de sesión?
  2. ¿Por qué se mantendrían las ID de múltiples sesiones? ¿Es para agregar algo de seguridad?
pregunta one 06.07.2016 - 11:04
fuente

1 respuesta

4

Depende.

Es muy común asegurar la integridad de la cookie de sesión. Una forma es crear un identificador muy aleatorio (razonablemente largo), otra forma es firmar la cookie de sesión. Incluso es DEBIDO con los sistemas sin estado, donde la cookie pasa todo el contexto del usuario (muy popular hoy en día).

Entonces, puede tener una cookie que contenga su firma dentro (como el token JWT) u otra cookie que contenga MAC de la cookie de sesión. Si juegas con uno de ellos, la información de la sesión se vuelve inválida.

También puede tener diferentes motivos, como que haya cambiado la información de validez, la información de ubicación del sitio, ...

    
respondido por el gusto2 06.07.2016 - 11:27
fuente

Lea otras preguntas en las etiquetas