Ataques de Session Fixation

Los ataques de Session Fixation (Fijación de Sesión), pertenece a la categoría de los ataques de secuestro de sesión y la idea es muy simple: En lugar de robar la cookie de sesión de un usuario, se le obliga a usar una cookie de sesión con un ID conocido por el atacante y se espera a que el usuario se autentique con dicha cookie, asociándose está a su sesión.
Este ataque es posible porque la aplicación web auténtica al usuario sin invalidar primero el ID de sesión existente, por tanto, se continúa asociado el ID inicial a la sesión del usuario.
Posteriormente un atacante fuerza a un usuario a utilizar un ID de sesión determinado. De este modo, la próxima vez que el usuario se auténtica en la aplicación, esta asociará el ID de sesión del atacante a la sesión del usuario, permitiendo, el secuestro de sesión.
La prueba de seguridad OTG-SESS-003 que propone OWASP, ofrece un método adecuado para comprobar la existencia de esta vulnerabilidad en una aplicación web.

Pueden obtener más información en los siguientes enlaces:

Anuncios

Un comentario en “Ataques de Session Fixation

  1. Pingback: Testing for Session Fixation (OTG-SESS-003) | Behique Digital

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s