È una correzione di sessione

1

Non riesco davvero a capire l'attacco alla fissazione della sessione.

Ho letto la definizione OWASP che ha detto:

Session Fixation is an attack that permits an attacker to hijack a valid user session. The attack explores a limitation in the way the web application manages the session ID, more specifically the vulnerable web application. When authenticating a user, it doesn’t assign a new session ID, making it possible to use an existent session ID. The attack consists of obtaining a valid session ID (e.g. by connecting to the application), inducing a user to authenticate himself with that session ID, and then hijacking the user-validated session by the knowledge of the used session ID. The attacker has to provide a legitimate Web application session ID and try to make the victim's browser use it.

Allo stesso tempo, ho letto questo rapporto e il ricercatore della sicurezza afferma che la vulnerabilità questa è la sessione di fissazione della sessione rapporto di riparazione :

Summary:

The application does not set a new Session ID in the cookie after what appears to be an authentication attempt by the user. If this was a successful login and the Session IDs are stored in cookies then this application is affected by Session Fixation vulnerability.

La mia domanda è: la vulnerabilità in questo rapporto è la fissazione della sessione, ed è la procedura per testare questa vulnerabilità i passaggi della verifica della sessione di fissazione?

    
posta Mohamed A Nasef 23.04.2016 - 01:08
fonte

2 risposte

3

Il testo che hai citato descrive un problema di risoluzione della sessione. Ma l'intero report (l'ho incluso sotto per riferimento) descrive un problema con il logout. Nello specifico, afferma che il logout avviene solo sul lato client, non sul lato server. Per la discussione di Cheat Sheet di OWASP Session Management sul pulsante di logout :

the web application must invalidate the session at least on server side.

Quindi, se è corretta, questa è una vulnerabilità, ma non la fissazione della sessione. (Non sono sicuro che abbia un nome.)

La guida OWASP per Test per la funzionalità di disconnessione descrive come testare per questo, ma le istruzioni del report da riprodurre, incluse sotto, lo descrivono anche.

Per maggiore sicurezza, è possibile anche testare la vulnerabilità della fissazione della sessione. Segui semplicemente una guida alla verifica della fissazione della sessione, ad esempio questa da OWASP .

Rapporto sulla vulnerabilità

bug-session fixation
Severity: Medium

Summary:

The application does not set a new Session ID in the cookie after what
appears to be an authentication attempt by the user. If this was a
successful login and the Session IDs are stored in cookies then this
application is affected by Session Fixation vulnerability.

To reproduce this vulnerability

1.open chrome and download edit this cookie ad-don
2.now open https://www.reddapi.com/ and log in 
3.now go to edit this cookie addon and click export all cookies ...
  by clicking this we get the cookie copied in clipboard..
4.logout from your https://www.reddapi.com/ account...
5.if needed u can close and open your browser.
6.now again go to https://www.reddapi.com/ but don't login..just
  simply go to edit this cookie addon and click import a cookie
  and paste the code which we previously exported.
7.after pasting just refresh the page and that's done you are now
  logged into your account without login details...

problems faced

the problems face if the vulnerability exits are
1.anyone can easily hijack victims or users session and get into his account
2.cookie stealing is the best way the hacker can get into and account..
  it would not take more than 5min to steal someones cookie using php n all...
3.even friends can fool the victim and get him hacked..
    
risposta data 23.04.2016 - 04:55
fonte
3

Non importa ciò che pensa il tester. Provalo tu stesso Apri il sito, controlla i cookies.

Login.

Controlla i cookie.

Il sito ha ripristinato i cookie?

In caso contrario, sei vulnerabile alla fissazione della sessione.

Esistono altre varietà. Disconnessione e accesso, il cookie è cambiato?

Dovrebbe cambiare.

Questo è tutto. Assicurati che il cookie cambi.

Il rischio è che in qualche modo qualcuno possa controllare il cookie o impostare il cookie mentre si è disconnessi, attendere l'accesso e impersonare l'utente tramite il cookie.

    
risposta data 23.04.2016 - 07:01
fonte

Leggi altre domande sui tag