Fijación de sesión: ¿es eso un problema aquí?

Navega tus respuestas
1

Alguien se me acercó y me dijo que no le asignara un nuevo ID de sesión al iniciar sesión correctamente.

Básicamente me dijeron: el hecho de que use la misma cookie (con el mismo SID) en la página de inicio de sesión, así como la sesión autorizada restante hace que mi sitio web sea vulnerable a la reparación de la sesión.

En primer lugar, ni siquiera entiendo el término en este caso: esto no tiene nada que ver con la fijación de la sesión, ¿verdad? Mis SID se envían de un lado a otro utilizando HttpOnly y Secure HTML-Cookies. La fijación del significado llamando a una URL con un cierto SID no ocurrirá, porque mi sitio web no usa URL-SID.

No podría pensar de otra manera en que un potencial pirata informático podría establecer una sesión según sus deseos. La única forma en que podría exigirle que ejecutara un JS desde mi dominio y eso requeriría que el dominio sea vulnerable a XSS, ¿no?

Y, de nuevo, también siempre vinculo una solicitud de IP en una sesión, lo que significa que una vez que una solicitud diferente de IP de la que ya está vinculada a la sesión esté intentando usar esa sesión, invalidaré esta sesión y expulsaré al usuario.

¿Estoy siendo ignorante de una determinada circunstancia aquí o su sitio web no es vulnerable a la fijación de la sesión como se afirma? Busqué una buena cantidad de ejemplos con respecto a la fijación de la sesión y siento que no tengo necesidad de realizar ninguna acción aquí.

    
pregunta Mercious 16.03.2015 - 15:44
fuente

1 respuesta

3

Este es una vulnerabilidad de reparación de sesión, incluso si es relativamente difícil de explotar.

Hace muchas suposiciones antes de llegar a la conclusión de que todo está bien. Sus suposiciones son:

  • "Un atacante no puede establecer una cookie en el navegador de la víctima, excepto a través de una vulnerabilidad XSS".
  • "No hay vulnerabilidades XSS en ninguna parte de mi aplicación".
  • "Las direcciones IP nunca se comparten."

No estoy de acuerdo con esas declaraciones.

La configuración de una cookie en el navegador del vicitim no requiere necesariamente un ataque XSS. Por ejemplo, si hay un subdominio que aloja una aplicación diferente, entonces esta aplicación también puede establecer cookies para el dominio principal.

Las vulnerabilidades de XSS existen en muchas aplicaciones, incluso cuando todos los programadores hacen todo lo posible. ¿Qué te hace pensar que eres la excepción?

Las direcciones IP se comparten. Hay servidores proxy y VPN con miles de usuarios, hay wifi públicos, hay grandes redes detrás de una única dirección IP (gracias a NAT), está el Tor Project enrutando todo su tráfico a través de algunas salidas En los nodos, hay ISPs que constantemente reasignan sus direcciones IP. Entonces, una dirección IP no es igual a un usuario no . Lo difícil que es para un atacante hacerse cargo de la dirección IP de la víctima depende completamente del entorno de red concreto, y eso obviamente no está bajo su control.

Por supuesto que puede tener suerte y no ser víctima de ninguno de los problemas anteriores. Sin embargo, confiar en la suerte es una mala idea en seguridad. De hecho, generalmente asumimos el peor escenario, y es por eso que es una práctica estándar generar un ID de sesión nuevo cuando el usuario inicia sesión.

    
respondido por el Fleche 16.03.2015 - 16:36
fuente

Lea otras preguntas en las etiquetas

¿El navegador aún almacena el sitio web que visitó Navegación privada [incógnito Firefox]? ¿Por qué algunos ataques son más famosos que otros (Heartbleed, BESTIA, POODLE, etc.)?