Cambio de id de sesión después de iniciar sesión

6

Mi aplicación web solo es accesible para usuarios autenticados. Antes de iniciar sesión, el usuario solo puede ver la página principal con un botón para iniciar sesión. La aplicación asigna un ID de sesión en la página principal, la autenticación es manejada por otra aplicación.

Después de iniciar sesión y volver a mi aplicación, el usuario todavía tiene el mismo ID de sesión. Sin embargo, se cambiará después de cerrar la sesión.

OWASP ASVS indica que la ID de sesión debe cambiarse al iniciar sesión, pero no veo un punto claro por qué es necesario para esta situación. ¿Es necesario cambiarlo?

    
pregunta user187205 26.12.2017 - 19:21
fuente

1 respuesta

7

La razón por la que es mejor cambiar la identificación de la sesión al iniciar sesión se debe a posibles vulnerabilidades de intermediario. Si un atacante captura su ID de sesión, puede usarla para hacerse pasar por el usuario legítimo. Esto se llama una vulnerabilidad de reparación de sesión. Cambiar los ID de sesión en cada inicio de sesión ayudará a prevenir esta vulnerabilidad, ya que el ID de sesión anterior se considerará inválido y el atacante ya no podrá usarlo para autenticarse.

Referencias:

enlace enlace

    
respondido por el Henry F 26.12.2017 - 21:29
fuente

Lea otras preguntas en las etiquetas