Data la vulnerabilità XSS appropriata, un utente malintenzionato può dirottare la sessione di qualcuno con i dati passati al e dal server.
Perché le sessioni non sono sempre esclusive dell'IP in cui sono state avviate? vale a dire, quando un sito Web / servizio deve mantenere una sessione autenticata su più indirizzi IP? Non sono sicuro del motivo per cui le sessioni lo consentono, quindi non capisco come mai questa sia una via percorribile per un aggressore.
In primo luogo, il collegamento di una sessione a un indirizzo IP non lo rende sicuro poiché il server potrebbe vedere molti utenti diversi come utilizzare lo stesso indirizzo IP per vari motivi (tutti i tipi di server proxy, ad esempio: client, reverse proxy, CDN , ecc.).
In secondo luogo, lo stesso utente potrebbe utilizzare diversi indirizzi IP per la stessa sessione. Ad esempio, qualcuno potrebbe passare da una rete all'altra dello stesso dispositivo.
Quindi, dal momento che non è efficace e causa problemi di usabilità e scalabilità, non è solitamente una funzione che è abilitata.
Nel passato, AOL era famoso per il traffico aggressivo di bilanciamento del carico tra la sua rete interna e Internet su tutti i suoi proxy di uscita. Ciò significava che una richiesta per una singola pagina web e il suo contenuto provengono da molti indirizzi IP diversi: se si è bloccata una sessione su un singolo indirizzo IP, la sessione si interromperebbe prima del completamento della pagina di "accesso riuscito".
Questo tipo di bilanciamento del carico è meno comune, ma può ancora verificarsi se qualcuno utilizza un proxy "web accelerator" o un ISP meno incline alla tecnologia. I turni più lenti sono più comuni, ad esempio se qualcuno sta utilizzando un ISP wireless e ottiene un nuovo indirizzo ogni volta che cambiano le stazioni base.
Inserire una sessione in un singolo indirizzo IP può rendere più difficili gli attacchi di furto della sessione, ma ha il costo di impedire ad alcune persone di utilizzare il tuo servizio interamente e di offrire agli altri un'esperienza degradata.
Un utente malintenzionato può connettersi al server dallo stesso indirizzo. Ad esempio un aggressore e la vittima utilizzano lo stesso WiFi.
Inoltre, può causare problemi all'utente se lui / lei ha più percorsi verso il server e l'IP dell'utente subisce Transizione indirizzo di rete.
Un altro motivo contro le sessioni vincolanti per un indirizzo IP specifico è una cosa chiamata "Happy eyeballs" (sì, davvero!).
È fondamentalmente un meccanismo che tenta di rilevare il modo migliore per stabilire una connessione quando si utilizza una connessione Dual-Stack (IPv4 e IPv6 supportati).
Alcuni sistemi operativi lo fanno in modo molto aggressivo, per esempio OS X, ad esempio, tenterà di caricare la pagina Web tramite IPv6 e quindi caricare alcune immagini tramite IPv4 per ottenere un benchmark che funzioni meglio.
E, naturalmente, dato che IPv4 e IPv6 utilizzano indirizzi completamente diversi che non è possibile correlare, accadranno cose davvero strane, quando si associano gli indirizzi IP alle sessioni.
Altre informazioni: link
Leggi altre domande sui tag xss session-management