Preguntas con etiqueta 'session-fixation'

preguntas con etiqueta
3
respuestas

evita el secuestro de sesiones en PHP

Escribí los scripts de inicio / cierre de sesión de mi página web y cuando el usuario inicia sesión almaceno en la variable $_SESSION el agente de usuario. Ahora, cada vez que se carga una página, compruebo si el usuario ha iniciado sesió...
hecha 14.12.2014 - 11:02
3
respuestas

ataque de fijación de sesión

Dadas las siguientes condiciones, La ID de sesión no cambia al iniciar sesión La ID de sesión viaja en forma de cookie HTTP No hay ninguna vulnerabilidad de redireccionamiento / scripts entre sitios en la página de inicio de sesión ¿T...
hecha 08.05.2012 - 06:13
1
respuesta

¿Cómo prevenir un ataque de reparación de sesión MITM sobre HTTP simple a la primera solicitud?

Los sitios web tienen varios métodos implementados para indicar al navegador que siempre use HTTPS: encabezado HSTS, redirección del servidor a HTTPS, política de CSP. Sin embargo, la primera vez que un usuario visita el sitio puede estar sobre...
hecha 12.03.2018 - 22:09
1
respuesta

Fijación de sesión en Java

En el proceso de desarrollo de una aplicación vulnerable basada en jsp / servlet, intenté introducir la vulnerabilidad de la fijación de sesión. Refiriéndose a la documentación Vine con el siguiente código que, cuando se utiliza en el servl...
hecha 11.11.2014 - 12:58
3
respuestas

Comprobación de la cadena del agente del navegador para la seguridad de la aplicación

Recientemente he encontrado algunos registros en mi aplicación en los que he visto que se cambiaba la información del agente del navegador del usuario. Incluso si el usuario está utilizando el mismo navegador, la información del agente se ha mod...
hecha 13.12.2016 - 11:57
1
respuesta

Renovación de sesión ¿con qué frecuencia es necesario?

Estoy revisando nuevamente la administración de sesión de un sitio y actualmente renueva el ID de sesión del cliente en cada actualización de página. La idea es que si se la roban directamente del navegador, hay menos posibilidades de que la ses...
hecha 21.03.2017 - 20:36
1
respuesta

Hashing de identificación de sesión - Cómo hacerlo más seguro y robusto

Escribí una clase de PHP que controla la sesión y las almacena en la base de datos en lugar de los archivos normales en el servidor, puede encontrarla en My Session Handler Class En esa publicación, un usuario llamado @AnotherGuy ha plantea...
hecha 12.08.2015 - 07:15
1
respuesta

Aclaración sobre cómo funcionan los ataques de reparación de sesión

Comenzando con OWASP estoy aprendiendo cómo funcionan los ataques de fijación de sesión. Este es el escenario: el atacante tiene el ID de sesión generado por el servidor (al iniciar sesión, por ejemplo) y envía un hipervínculo con el mismo...
hecha 31.01.2018 - 15:04
2
respuestas

¿Estoy entendiendo correctamente cómo detener un determinado ataque de fijación de sesión de OAuth2?

Aquí se describe un ataque de reparación de sesión de OAuth2. ¿Es posible el ataque? ¿Y estoy entendiendo correctamente cómo se puede detener? El ataque Mallory comienza a iniciar sesión en client.example.com a través de un proveedo...
hecha 26.07.2014 - 17:41
2
respuestas

Entrega de cookie de fijación de sesión

Encontré una posibilidad de fijación de sesión en una aplicación que estoy investigando. Es una fijación de sesión a través de una cookie de identificación de sesión. Ahora he leído sobre la fijación de la sesión y el concepto es claro y se redu...
hecha 21.03.2017 - 14:24