¿Qué es la fijación de sesiones?
Hay muchos tipos diferentes de vulnerabilidades de seguridad que se encuentran en los sitios web, una interesante se llama "Reparación de sesión". La corrección de sesión es un problema en el que un atacante puede afectar el identificador de sesión, que es el ID de sesión de un usuario, y luego usarlo para obtener acceso a su cuenta. Hay dos formas en que este tipo de vulnerabilidad puede funcionar: Puede permitir que el atacante encuentre o establezca la identificación de sesión de otro usuario.
Cómo se realiza un ataque de fijación de sesión
La identificación de sesión de un usuario es a menudo una parte clave de la autenticación en el sitio web y, en muchos casos, es el único dato que identifica al usuario que ha iniciado sesión específico. El problema con esto es que si un atacante puede establecer o aprender el ID de sesión de otro usuario, puede usar el token de sesión y así poder actuar como un usuario.
Normalmente, esto se hace engañando al usuario para que haga clic en un tipo de enlace de phishing. El enlace en sí es completamente legítimo, pero incluye una variable que establece un ID de sesión específico. Si el usuario inicia sesión con el ID de sesión y el servidor no le asigna un nuevo ID de sesión al iniciar sesión, el atacante puede simplemente configurar su ID de sesión para que sea el mismo y tener acceso a la cuenta. de la víctima.
Cómo verificar si sus contraseñas se han perdido en una violación de datosOtra forma en que el atacante puede averiguar el ID de sesión de la víctima es si aparece en una URL. Por ejemplo, si el atacante puede engañar a la víctima para que le envíe un enlace y esto incluye la identificación de sesión de la víctima, el atacante puede usar la identificación de sesión para iniciar sesión en la cuenta de la víctima. En algunos casos, esto puede suceder completamente por accidente. Por ejemplo, si el usuario copia la URL con el ID de sesión y la pega en un amigo o en un foro, cualquier usuario que siga el enlace iniciará sesión con la cuenta del usuario.
Remedios para la fijación de la sesión
Hay algunas soluciones a este problema y, como siempre, la mejor solución es implementar tantas correcciones como sea posible como parte de una estrategia de defensa en profundidad. La primera solución es cambiar el ID de sesión del usuario al iniciar sesión. Esto evita que un atacante afecte el ID de sesión de un usuario que haya iniciado sesión. También puede configurar el servidor para que siempre y solo acepte los ID de sesión que ha generado y para rechazar explícitamente los ID de sesión proporcionados por el usuario.
El sitio web debe estar configurado para que nunca ingrese detalles confidenciales del usuario, como el ID de sesión en la URL, y debe ingresarlo en un parámetro de solicitud GET o POST. Esto evita que el usuario comprometa accidentalmente su ID de sesión. Al utilizar tanto un ID de sesión como un token de autenticación independiente, duplica la cantidad de información que necesita el atacante y evita que los atacantes accedan a sesiones con ID de sesión conocidos.
Es imperativo que todos los ID de sesión válidos para un usuario se invaliden cuando se hace clic en el botón de cierre de sesión. Puede volver a generar el ID de sesión en cada solicitud; si se invalidan los ID de sesión anterior, esto también evita que los atacantes utilicen el ID de sesión conocido. Este enfoque también reduce significativamente la ventana de amenaza si un usuario revela su ID de sesión.
Cómo suspender las pestañas de Chrome para liberar recursos del sistemaAl habilitar más de estos enfoques, una estrategia de defensa en profundidad puede eliminar este problema como un riesgo de seguridad.