Фиксация сессии
Что такое Фиксация сессии?
Фиксация сессииАтака, при которой злоумышленник подсаживает известный идентификатор сессии в браузер жертвы до входа, так что после аутентификации он остаётся действительным для него.
Фиксация сессии эксплуатирует приложения, сохраняющие один и тот же идентификатор сессии при переходе из неаутентифицированного состояния в аутентифицированное. Сначала злоумышленник получает или задаёт ID сессии — например, через ссылку с параметром 'JSESSIONID' или инъекцией куки — и ждёт, пока жертва войдёт. Так как сервер использует тот же ID и после авторизации, злоумышленник получает доступ к аккаунту. Каноническая защита — при успешной аутентификации аннулировать любую пред-логин сессию и выдавать новый криптографически случайный идентификатор, желательно в куках с 'HttpOnly', 'Secure' и 'SameSite'. Отказ от приёма ID сессии в URL-параметрах и привязка сессии к атрибутам клиента усиливают защиту.
● Примеры
- 01
Злоумышленник отправляет ссылку '?sid=abc', которая выставляет куку, и после входа жертвы повторно использует 'abc'.
- 02
Платформа хостинга делит идентификатор сессии между поддоменами, и скомпрометированный поддомен может зафиксировать сессию основного приложения.
● Частые вопросы
Что такое Фиксация сессии?
Атака, при которой злоумышленник подсаживает известный идентификатор сессии в браузер жертвы до входа, так что после аутентификации он остаётся действительным для него. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Фиксация сессии?
Атака, при которой злоумышленник подсаживает известный идентификатор сессии в браузер жертвы до входа, так что после аутентификации он остаётся действительным для него.
Как защититься от Фиксация сессии?
Защита от Фиксация сессии обычно сочетает технические меры и операционные практики, как описано в определении выше.