Session Fixation
Was ist Session Fixation?
Session FixationAngriff, bei dem der Angreifer vor dem Login eine ihm bekannte Session-ID im Browser des Opfers platziert, sodass sie nach der Authentifizierung für ihn gültig bleibt.
Session Fixation nutzt Anwendungen aus, die beim Übergang von unauthentifiziert zu authentifiziert dieselbe Session-ID beibehalten. Der Angreifer beschafft oder setzt zunächst eine Session-ID — etwa über einen Link mit 'JSESSIONID' oder durch Cookie-Injection — und wartet, bis das Opfer sich anmeldet. Da der Server die fixierte ID für die authentifizierte Session weiterverwendet, kann der Angreifer das Konto übernehmen. Die kanonische Gegenmaßnahme ist, jede Pre-Login-Session bei erfolgreicher Authentifizierung zu invalidieren und eine neue, kryptografisch zufällige Session-ID auszustellen, idealerweise mit 'HttpOnly', 'Secure' und 'SameSite'. Session-IDs aus URL-Parametern abzulehnen und Sessions an Client-Attribute zu binden, härtet zusätzlich.
● Beispiele
- 01
Angreifer schickt einen Link mit '?sid=abc', der ein Session-Cookie vorsetzt, und nutzt 'abc' nach dem Login des Opfers weiter.
- 02
Hosting-Plattform teilt die Session-ID zwischen Subdomains, sodass eine kompromittierte Subdomain die Session der Hauptanwendung fixieren kann.
● Häufige Fragen
Was ist Session Fixation?
Angriff, bei dem der Angreifer vor dem Login eine ihm bekannte Session-ID im Browser des Opfers platziert, sodass sie nach der Authentifizierung für ihn gültig bleibt. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet Session Fixation?
Angriff, bei dem der Angreifer vor dem Login eine ihm bekannte Session-ID im Browser des Opfers platziert, sodass sie nach der Authentifizierung für ihn gültig bleibt.
Wie schützt man sich gegen Session Fixation?
Schutzmaßnahmen gegen Session Fixation kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.