Quali sono i presupposti per l'esecuzione di un attacco di fissazione della sessione usando XSS?
vale a dire, in cui parametro deve essere iniettato lo script in modo che imposti il cookie nel browser.
Condizioni di conoscenza: accesso pre e post l'ID di sessione rimane lo stesso.
Precondizione per la correzione della sessione tramite XSS
Il presupposto è che, come hai detto tu, l'ID di sessione non cambia al login, altrimenti la risoluzione della sessione non funziona.
Inoltre, il cookie di sessione non deve essere httpOnly (poiché non è possibile sovrascriverlo da JavaScript) o non esiste ancora (ovvero l'utente non ha attualmente effettuato l'accesso).
Attacchi alternativi
Perché dovresti eseguire la fissazione della sessione tramite XSS? Affinché funzioni, la vittima deve inserire le proprie credenziali di accesso in modo che l'ID della sessione fissata sia associato al proprio account.
Potresti anche leggere la password inserita. Ora hai pieno accesso all'applicazione (non solo accesso temporaneo), le restrizioni di sessione non si applicano (ad esempio sono associate a IP o useragent) e non importa se l'ID di sessione viene rigenerato al momento dell'accesso.
La seconda S in XSS sta per script. Scrivi un po 'di sceneggiatura. Javascript. E imposta un cookie, ad es.
document.cookie="ASP.NET_SessionID=0a72619fe826d711";
Il nome del cookie varia a seconda del sito.
Il valore del cookie dovrebbe essere il valore di "fissazione", ad es. il tuo ID di sessione per lo stesso sito web.
Leggi altre domande sui tag session-fixation