Preguntas con etiqueta 'session-fixation'

preguntas con etiqueta
2
respuestas

Probar la fijación de sesión cuando la cookie no se modifica

Estaba probando una aplicación web donde las cookies (ID de sesión, valores de sesión) son las mismas en todo momento. Incluso después de que se lleva a cabo la autenticación exitosa, permanece sin cambios. El ID de sesión viaja en forma de una...
hecha 28.02.2017 - 09:57
2
respuestas

Gestión de sesión: establezca un nuevo valor de ID de sesión después del cambio de privilegios y otras operaciones confidenciales

Este Artículo de OWASP sobre administración de sesiones recomienda establecer un nuevo valor de ID de sesión cuando:    También se deben considerar los escenarios comunes, como los cambios de contraseña,   cambios de permisos o el cambio de...
hecha 23.10.2016 - 20:55
1
respuesta

¿SESSION es seguro para transferir correo electrónico cifrado y contraseña en PHP?

Estoy trabajando en un proyecto en el que estoy usando PHP_SESSION. En algún lugar escuché que PHP_SESSION no es seguro para pasar datos valiosos, así que tengo que saber cuáles son las fallas de seguridad, cómo se puede hackear y cómo protegerm...
hecha 01.06.2015 - 09:48
1
respuesta

¿Hay alguna manera de saber que una cookie es "Solo HTTP" en la primera solicitud del usuario?

Cuando estaba leyendo la sesión artículo de reparación sobre OWASP , pensaba que la única forma de mi servidor Rechazar una cookie configurada por un script malicioso sería para mi servidor saber que el navegador envió una solicitud sin el indi...
hecha 05.08.2018 - 02:40
4
respuestas

Ataque de reparación de sesión, sesiones basadas en cookies a través de https

Un consultor de seguridad externo realizó una prueba de penetración en algunas de nuestras aplicaciones web. Uno de los hallazgos fue una vulnerabilidad potencial de la fijación de sesión. Tenemos varias aplicaciones web, todas de Java con in...
hecha 27.06.2017 - 12:10
1
respuesta

¿Es difícil resolver la fijación de sesión?

Acabo de encontrar una vulnerabilidad de reparación de sesión en un par de gigantes tecnológicos. Dando los pasos que he hecho: 1. Inicie sesión en su cuenta en un navegador (Navegador 1).   2. Extraiga la cookie mediante el extractor de c...
hecha 16.03.2017 - 05:49
1
respuesta

hashes de sesión, ¿necesita ayuda para saber cómo funciona?

hay un sitio web que visito y no puedo entender completamente el proceso de inicio de sesión y el hash de sesión que crea y utiliza para realizar un seguimiento de los inicios de sesión y demás. ¿Alguien me ayudaría a entender qué ocurre en...
hecha 02.01.2017 - 12:46
1
respuesta

Prevención de la fijación de sesión: ¿MAC o Hash?

Esta publicación del blog describe un método para prevenir los ataques de fijación de sesión (en ASP.Net en particular). La idea es que el ID de sesión debe estar vinculado a la identidad del usuario de manera verificable, lo que significa que...
hecha 03.02.2015 - 18:58
0
respuestas

Gestión de sesiones para evitar la fijación de la sesión

¿Cómo mantengo el mismo estado de sesión con un ID de sesión diferente cuando obtenemos una solicitud de inicio de sesión? ¿Debo hacer algo más desde el extremo del servidor que no sea simplemente asignar el ID de sesión en Response.cookies a un...
hecha 13.12.2018 - 10:25
0
respuestas

¿Generar nueva sesión en auth: antes o después de 2FA?

Sigo la hoja de trucos de owasp para gestionar sesiones en mi aplicación web: enlace Se recomienda generar siempre una nueva sesión en cualquier cambio de privilegio, como durante la autenticación. Entonces, cuando un usuario ha ingresado e...
hecha 27.10.2018 - 06:25