Fixação de sessão
O que é Fixação de sessão?
Fixação de sessãoAtaque em que o adversário implanta um identificador de sessão conhecido no navegador da vítima antes do login, para que continue válido para ele após a autenticação.
A fixação de sessão explora aplicações que mantêm o mesmo identificador de sessão entre o estado não autenticado e o autenticado. O atacante obtém ou define um ID de sessão — por exemplo, via link contendo 'JSESSIONID' ou injetando um cookie — e espera a vítima entrar. Como o servidor reutiliza o ID fixado para a sessão autenticada, ele acessa a conta. A defesa canônica é invalidar qualquer sessão pré-login e emitir um novo ID criptograficamente aleatório após a autenticação, idealmente em cookies com 'HttpOnly', 'Secure' e 'SameSite'. Rejeitar IDs passados em parâmetros de URL e vincular a sessão a atributos do cliente reforça a proteção.
● Exemplos
- 01
O atacante envia um link com '?sid=abc' que pré-define um cookie de sessão e reutiliza 'abc' após o login da vítima.
- 02
Plataforma de hospedagem compartilha o ID de sessão entre subdomínios, permitindo que um subdomínio comprometido fixe a sessão do app principal.
● Perguntas frequentes
O que é Fixação de sessão?
Ataque em que o adversário implanta um identificador de sessão conhecido no navegador da vítima antes do login, para que continue válido para ele após a autenticação. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa Fixação de sessão?
Ataque em que o adversário implanta um identificador de sessão conhecido no navegador da vítima antes do login, para que continue válido para ele após a autenticação.
Como se defender contra Fixação de sessão?
As defesas contra Fixação de sessão costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.