Misura preventiva per il rilevamento di attacchi di Session Fixation

Question

Misura preventiva per il rilevamento di attacchi di Session Fixation

#1 da (6 voti)

1

Dalla mia comprensione se non sbaglio in attacchi di fissazione della sessione. L'utente malintenzionato accede al server come utente legittimo e crea una sessione valida. Quindi, inganna l'utente compromesso per utilizzare la sua sessione che è già stata risolta. La mia domanda è come rilevare gli attacchi di fissazione della sessione una possibile soluzione che ho in mente

Identifica sessione con IP sorgente come questo è possibile con WAF come Modsecurity

Il problema con questo approccio potrebbe avere un falso positivo elevato poiché il client potrebbe utilizzare un server proxy o al client potrebbe essere assegnato un indirizzo IP dinamico che potrebbe cambiare durante la sessione.

session-management session-fixation

posta Ali Ahmad 16.06.2013 - 12:31

fonte

1 risposta

Leggi altre domande sui tag session-management session-fixation

Analisi del registro Wireshark IPSec, hub, mappe crittografiche

score 6 · Accepted Answer

Non è così che funziona un attacco di fissazione della sessione. L'utente malintenzionato deve in primo luogo ingannare l'utente per visitare il sito Web utilizzando una sessione predeterminata. Ad esempio, potrei indurti a fare clic su un link abbreviato http://example.com/index.php?PHPSSIDE=BLAHBLAHBLAH . Se accedi ora a example.com , la tua sessione verrà identificata da BLAHBLAHBLAH . In seguito avrei semplicemente utilizzato lo stesso identificatore e accesso per la sessione. Altri metodi includono un sottodominio non attendibile che assegna un cookie di sessione per un altro sottodominio.

Se ti fidi dei tuoi sottodomini, è sufficiente configurare semplicemente il tuo server web per non utilizzare identificatori di sessione (ad esempio PHPSSID ) in GET o POST. L'associazione della sessione a un indirizzo IP, l'aggiornamento dell'identificatore e la scadenza della sessione sono tutti ottimi livelli di protezione aggiuntivi contro la sessione hijacking .

Quando si implementa una funzionalità di sicurezza, pensa sempre alla maggioranza dei tuoi utenti. Quei 90 +% il cui IP non cambierà il tempo di gazillion per tutta la sessione, quelli che non subiranno il sequestro costante delle loro sessioni. Per l'altro 10%, va bene mostrargli un modulo di autenticazione (inserendo nuovamente la password) quando accade qualcosa di specioso.