Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Português
Entry № 1133

Sequestro de sessão

Revisado porCybersecurity entrepreneur & security researcher

O que é Sequestro de sessão?

Sequestro de sessãoAtaque que assume a sessão autenticada de uma vítima ao roubar ou forjar o seu identificador de sessão, permitindo ao atacante agir como o utilizador sem as credenciais.

O sequestro de sessão visa o token que mantém uma sessão autenticada — geralmente um cookie ou bearer token — e reutiliza-o num cliente controlado pelo atacante. Os tokens podem ser capturados por sniffing em ligações não cifradas, exfiltrados via XSS, roubados por malware no cliente, adivinhados quando o ID é previsível, impostos por fixação de sessão ou comprometidos em terceiros. Ao reproduzir a sessão, o atacante contorna a autenticação, incluindo uma MFA já realizada. As defesas incluem HTTPS em todo o lado com HSTS, flags de cookie seguras (Secure, HttpOnly, SameSite), CSP forte contra XSS, tokens de curta duração e rotativos, tokens vinculados ao dispositivo (DPoP, Token Binding, passkeys), reautenticação baseada em risco e deteção de anomalias (IP, impressão digital de dispositivo, ASN).

Exemplos

  1. 01

    Um payload XSS exfiltra o cookie de sessão de um utilizador autenticado para o atacante, que o cola no seu navegador para se fazer passar pela vítima.

  2. 02

    Malware num posto rouba um refresh token OAuth, dando acesso persistente a uma aplicação SaaS.

Perguntas frequentes

O que é Sequestro de sessão?

Ataque que assume a sessão autenticada de uma vítima ao roubar ou forjar o seu identificador de sessão, permitindo ao atacante agir como o utilizador sem as credenciais. Pertence à categoria Ataques e ameaças da cibersegurança.

O que significa Sequestro de sessão?

Ataque que assume a sessão autenticada de uma vítima ao roubar ou forjar o seu identificador de sessão, permitindo ao atacante agir como o utilizador sem as credenciais.

Como se defender contra Sequestro de sessão?

As defesas contra Sequestro de sessão costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Quais são outros nomes para Sequestro de sessão?

Nomes alternativos comuns: Hijacking de sessão.

Termos relacionados

Ver também