CyberGlossary

Ataques e ameaças

Sequestro de sessão

Também conhecido como: Hijacking de sessão

Definição

Ataque que assume a sessão autenticada de uma vítima ao roubar ou forjar o seu identificador de sessão, permitindo ao atacante agir como o utilizador sem as credenciais.

O sequestro de sessão visa o token que mantém uma sessão autenticada — geralmente um cookie ou bearer token — e reutiliza-o num cliente controlado pelo atacante. Os tokens podem ser capturados por sniffing em ligações não cifradas, exfiltrados via XSS, roubados por malware no cliente, adivinhados quando o ID é previsível, impostos por fixação de sessão ou comprometidos em terceiros. Ao reproduzir a sessão, o atacante contorna a autenticação, incluindo uma MFA já realizada. As defesas incluem HTTPS em todo o lado com HSTS, flags de cookie seguras (Secure, HttpOnly, SameSite), CSP forte contra XSS, tokens de curta duração e rotativos, tokens vinculados ao dispositivo (DPoP, Token Binding, passkeys), reautenticação baseada em risco e deteção de anomalias (IP, impressão digital de dispositivo, ASN).

Exemplos

  • Um payload XSS exfiltra o cookie de sessão de um utilizador autenticado para o atacante, que o cola no seu navegador para se fazer passar pela vítima.
  • Malware num posto rouba um refresh token OAuth, dando acesso persistente a uma aplicação SaaS.

Termos relacionados