He leído que ambos son convencionalmente iguales. Pero debe haber algunas diferencias que diferencien los dos términos. Alguien por favor explique.
He leído que ambos son convencionalmente iguales. Pero debe haber algunas diferencias que diferencien los dos términos. Alguien por favor explique.
Finalmente he encontrado la respuesta. Si podemos robar las cookies de alguien (por ejemplo, el usuario John) y obtener acceso a sus sesiones, podemos hacerlo solo si el usuario (John) ha iniciado sesión en su cuenta desde otro lugar. En realidad se llama fijación de sesión. Pero una vez que se desconecta, el valor de la cookie para esa sesión caduca y el atacante también pierde el acceso a la cuenta de John.
Ahora que viene al caso de Session Recreation, el atacante puede secuestrar la sesión de John incluso si se ha desconectado de su cuenta. Si alguien conoce este concepto con cualquier otro nombre, no dude en compartirlo aquí. Publicando esto como la respuesta aceptada aquí.
Creo que la recreación de la sesión o la reproducción de la sesión significa recrear la actividad del usuario para una sesión determinada. Típicamente como una forma de resolución de problemas y / o análisis. Algo malo sucedió con el usuario __. Según la actividad registrada, hicieron _ cosas antes de que se encontraran con el problema. Luego podría intentar reproducir la situación que condujo a ese problema, encontrarlo y solucionarlo.
La fijación de sesión se refiere a forzar o engañar a una víctima para que use una sesión dada de un atacante. El atacante sabría entonces la sesión (y podrían robarla) que la víctima está usando porque el atacante se la dio.
Al igual que Paraplastic2 alread dijo:
Con la fijación de sesión, primero crea una sesión maliciosa (una que usted controla) y trata de usar esta sesión "preparada / arreglada", para que pueda acceder a la información de la sesión (datos que desea manipular o robar).
El término sesión "recreación" no parece ser el más utilizado, ya que no puedes encontrar tantos resultados en Google, por ejemplo.
La contraparte más lógica parece ser la reproducción de la sesión como se describe en: enlace
Por lo tanto, la diferencia con respecto a la fijación sería que no le proporciona al usuario el identificador de sesión malintencionada, sino que de alguna manera consigue su Mano en la sesión existente que el usuario inició (por ejemplo, mediante el robo de cookies de xss).
Sin más contexto para el término "recreación de sesión" es difícil validar si esto es lo que quieres decir.
En el contexto de la seguridad en la administración de sesiones, se recomienda la recreación de la sesión después del inicio de sesión o cualquier cambio de privilegio.
De acuerdo también con la hoja de trucos de administración de sesión de OWASP:
"" " La regeneración de ID de sesión es obligatoria para evitar ataques de fijación de sesión [3], donde un atacante configura el ID de sesión en el navegador web del usuario víctima en lugar de recopilar el ID de sesión de las víctimas, como en la mayoría de los otros ataques basados en sesión, e independientemente utilizando HTTP o HTTPS. Esta protección mitiga el impacto de otras vulnerabilidades basadas en la web que también se pueden usar para lanzar ataques de fijación de sesión, como la división de respuestas HTTP o XSS [4]. "" "
Fuente: enlace
Quizás lo mejor es leer sobre OWASP, refinar su definición de "recreación de sesión" en función de lo que lea allí y decidir cuál es la diferencia. Sin querer sonar frívolo, tenemos a algunos de nosotros aquí discutiendo qué quiere decir con eso, así que en lugar de un montón de ida y vuelta, ese puede ser el camino a seguir. Vinculé la página de administración de la sesión anterior, enlace , y Paraplastic2 tenía otro enlace útil de OWASP.
¡La mejor de las suertes!
Lea otras preguntas en las etiquetas authentication cookies session-fixation