Chiarimento su come funzionano gli attacchi di fissazione della sessione

3

A partire da OWASP Sto imparando come funzionano gli attacchi di fissazione delle sessioni.

Questo è lo scenario: l'autore dell'attacco ha l'ID di sessione generato dal server (accedendo per esempio) e invia un collegamento ipertestuale con lo stesso ID di sessione alla vittima. Ora, quando la vittima si registra, l'attaccante ottiene il controllo sul suo account.

I miei dubbi sono:

  1. Quando l'utente malintenzionato utilizza un ID di sessione già esistente, il server non sa che l'ID di sessione è già stato preso dall'attaccante?
  2. Quando la vittima accede al sito Web, che cosa può fare un utente malintenzionato? Qualche esempio?
posta KESHAV K 31.01.2018 - 15:04
fonte

1 risposta

4

When the attacker uses an already existing session ID, doesn't the server know that the session id has already been taken by the attacker?

L'utente malintenzionato invia un collegamento con un ID sessione che può essere:

  1. non è affatto registrato sul server - ovvero solo un numero casuale nel formato corretto o
  2. per una sessione effettiva che non ha effettuato l'accesso, quindi non è ancora associata a nessun utente.

Quindi l'attaccante non si collega mai sul sito. Sarebbe sciocco da parte dell'attaccante inviare un ID di sessione per una sessione in cui ha effettuato l'accesso come se fosse lei stessa, poiché ciò darebbe alla vittima il controllo sull'account degli hacker!

When the victim logs into the website, what can an attacker do with it? Any examples?

Quando la vittima si connette, l'ID di sessione in questione passa dal non essere associato con alcun utente ad essere associato alla vittima. Poiché l'autore dell'attacco conosce l'ID della sessione, ora può utilizzarlo per impersonare la vittima.

Ciò significa che può fare qualsiasi cosa che la vittima potrebbe fare sul sito - creare ed eliminare contenuti, modificare profili, qualunque cosa. Tutto ciò che non richiede alcune forme di autenticazione aggiuntive come la ridigitazione della password.

    
risposta data 31.01.2018 - 16:56
fonte