Usuario suplantado que usa JSessionID para confundir la sesión o secuestrar la sesión

1

¿Se considera JSessionID para la sobrecarga de la variable de sesión (también conocida como desconcierto de sesión)?

  1. Una aplicación web java se implementa en HTTPS
  2. Un usuario administrador inicia sesión en la aplicación. Después de iniciar sesión, se emite un nuevo JSessionID.
  3. Otro usuario no administrador se las arregla para obtener ese usuario administrador JsessionID
  4. Usando esa Id. de sesión, el usuario no administrador realiza alguna función de administrador.

¿Se puede considerar un desconcierto de sesión?

    
pregunta SW DEV07 20.07.2017 - 14:44
fuente

1 respuesta

1

Gracias. Es en realidad el secuestro de sesión. Por lo tanto, cualquier persona que tenga el usuario administrador JSessionID puede hacerse pasar por una función de administrador y realizarla. Para mitigar el problema de secuestro de sesión, se pueden tomar medidas siguiendo

  1. Tenga la validación de XSS en su lugar para su aplicación
  2. cambie su JSessionID después de iniciar sesión, es decir, evite la fijación de la sesión
  3. Proporcione seguridad estricta en la capa de transporte, es decir, implemente su aplicación en HTTPS (SSL / TLS)
  4. El tiempo de espera de la vista debería reducirse lo más posible
  5. Las cookies se deben establecer en HTTPONLY y seguras. Recomendación de OWASP
respondido por el SW DEV07 12.08.2017 - 17:47
fuente

Lea otras preguntas en las etiquetas