Correzione della sessione - È presente anche un problema qui?

Naviga le tue risposte
1

Qualcuno mi ha contattato per non aver assegnato un nuovo ID di sessione al login di successo.

Fondamentalmente mi è stato detto: il fatto che io usi lo stesso cookie (con lo stesso SID) nella pagina di accesso e la sessione autorizzata rimanente rende il mio sito Web vulnerabile alla risoluzione della sessione.

Prima di tutto, non capisco nemmeno il termine in questo caso: questo non ha nulla a che fare con la fissazione della sessione, vero? I miei SID vengono inviati avanti e indietro utilizzando i cookie HTML HttpOnly e Secure. La fissazione del significato chiamando un URL con un certo SID non si verifica nemmeno perché il mio sito web non utilizza SID URL.

Non potevo pensare a nessun altro modo in cui una sessione potesse essere impostata da un potenziale hacker per i suoi desideri. L'unico modo in cui poteva richiedere l'esecuzione di un JS dal mio dominio e richiederebbe che il dominio fosse vulnerabile all'XSS, giusto?

E poi di nuovo lego sempre un IP di richiesta in una sessione, il che significa che una volta che un IP di richiesta diverso da quello già associato alla sessione sta tentando di usare quella sessione, invaliderò questa sessione e cacciare l'utente.

Sono ignorante verso una certa circostanza qui o il suo sito web non è vulnerabile alla fissazione della sessione come richiesto? Ho cercato attraverso una buona quantità di esempi riguardo la fissazione della sessione e mi sento come se non avessi bisogno di intraprendere alcuna azione qui?

    
posta Mercious 16.03.2015 - 15:44
fonte

1 risposta

3

Questa è vulnerabilità di fissazione della sessione, anche se potrebbe essere relativamente difficile da sfruttare.

Fai un sacco di supposizioni prima di concludere che va tutto bene. Le tue ipotesi sono:

  • "Un utente malintenzionato non può impostare un cookie nel browser della vittima, se non attraverso una vulnerabilità XSS."
  • "Non ci sono vulnerabilità XSS in nessuna parte della mia applicazione."
  • "Gli indirizzi IP non vengono mai condivisi."

Non sono d'accordo con queste affermazioni.

L'impostazione di un cookie nel browser del vicitim non richiede necessariamente un attacco XSS. Ad esempio, se esiste un sottodominio che ospita un'applicazione diversa, questa applicazione potrebbe anche impostare cookie per il dominio principale.

Le vulnerabilità XSS esistono in molte applicazioni, anche quando tutti i programmatori fanno del loro meglio. Cosa ti fa pensare che tu sia l'eccezione?

Gli indirizzi IP vengono condivisi. Ci sono server proxy e VPN con migliaia di utenti, ci sono WiFi pubblici, ci sono grandi reti dietro un singolo indirizzo IP (grazie a NAT), c'è il Tor Project che indirizza tutto il suo traffico attraverso qualche uscita nodi, ci sono ISP che riassegnano costantemente i loro indirizzi IP. Quindi un indirizzo IP non è uguale a un utente. Quanto sia difficile per un utente malintenzionato rilevare attivamente l'indirizzo IP della vittima dipende interamente dall'ambiente di rete concreto, e ovviamente non è sotto il tuo controllo.

Naturalmente potresti essere fortunato e non cadere vittima di nessuno dei problemi sopra elencati. Tuttavia, fare affidamento sulla fortuna è una cattiva idea in sicurezza. Di solito, assumiamo lo scenario peggiore, ed è per questo che è prassi normale generare un nuovo ID di sessione quando l'utente esegue l'accesso.

    
risposta data 16.03.2015 - 16:36
fonte

Leggi altre domande sui tag

È possibile modificare la CA utilizzata da una coppia di chiavi? Quali sono i rischi nell'utilizzo di un tunnel VPN