Fijación de sesión
¿Qué es Fijación de sesión?
Fijación de sesiónAtaque en el que el adversario implanta un identificador de sesión conocido en el navegador de la víctima antes del inicio de sesión, para que siga siendo válido para él tras autenticarse.
La fijación de sesión aprovecha aplicaciones que mantienen el mismo identificador de sesión entre el estado no autenticado y el autenticado. El atacante obtiene o establece un ID de sesión —por ejemplo, invitando a la víctima con un enlace que incluye «JSESSIONID» o inyectando una cookie— y espera a que inicie sesión. Como el servidor reutiliza el ID fijado para la sesión autenticada, el atacante accede a la cuenta. La defensa canónica es invalidar cualquier sesión previa al login y emitir un nuevo ID aleatorio criptográficamente fuerte tras autenticarse, idealmente sobre cookies con «HttpOnly», «Secure» y «SameSite». Rechazar los IDs por parámetro de URL y vincular las sesiones a atributos del cliente añade endurecimiento.
● Ejemplos
- 01
El atacante envía un enlace con «?sid=abc» que preestablece una cookie de sesión y, tras el login, reutiliza «abc».
- 02
Una plataforma de hosting comparte el ID de sesión entre subdominios, permitiendo que un subdominio comprometido fije la sesión principal.
● Preguntas frecuentes
¿Qué es Fijación de sesión?
Ataque en el que el adversario implanta un identificador de sesión conocido en el navegador de la víctima antes del inicio de sesión, para que siga siendo válido para él tras autenticarse. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa Fijación de sesión?
Ataque en el que el adversario implanta un identificador de sesión conocido en el navegador de la víctima antes del inicio de sesión, para que siga siendo válido para él tras autenticarse.
¿Cómo defenderse de Fijación de sesión?
Las defensas contra Fijación de sesión combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.