Fixation de session
Qu'est-ce que Fixation de session ?
Fixation de sessionAttaque où l'adversaire plante un identifiant de session connu dans le navigateur de la victime avant la connexion, identifiant qui reste valable pour lui après l'authentification.
La fixation de session exploite des applications qui conservent le même identifiant de session lors de la transition non authentifié → authentifié. L'attaquant obtient ou fixe d'abord un ID de session — par exemple via un lien contenant « JSESSIONID » ou en injectant un cookie — puis attend que la victime se connecte. Comme le serveur réutilise l'ID fixé pour la session authentifiée, il peut alors accéder au compte. La défense canonique consiste à invalider toute session pré-login et à émettre un nouvel ID cryptographiquement aléatoire après authentification, idéalement sur des cookies « HttpOnly », « Secure » et « SameSite ». Refuser les IDs passés en paramètres d'URL et lier la session à des attributs du client renforcent encore la posture.
● Exemples
- 01
L'attaquant envoie un lien « ?sid=abc » qui pré-positionne un cookie de session, puis réutilise « abc » après la connexion de la victime.
- 02
Une plateforme d'hébergement partage l'ID de session entre sous-domaines, permettant à un sous-domaine compromis de fixer la session principale.
● Questions fréquentes
Qu'est-ce que Fixation de session ?
Attaque où l'adversaire plante un identifiant de session connu dans le navigateur de la victime avant la connexion, identifiant qui reste valable pour lui après l'authentification. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie Fixation de session ?
Attaque où l'adversaire plante un identifiant de session connu dans le navigateur de la victime avant la connexion, identifiant qui reste valable pour lui après l'authentification.
Comment se défendre contre Fixation de session ?
Les défenses contre Fixation de session combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.