Utente impersonato che utilizza JSessionID per l'individuazione della sessione o il dirottamento di sessione

1

È considerato JSessionID per il sovraccarico della variabile di sessione (noto anche come Session Puzzling)?

  1. Un'applicazione web java è distribuita in HTTPS
  2. Un utente amministratore accede all'applicazione. Dopo l'accesso, viene emesso un nuovo JSessionID.
  3. Un altro utente non amministratore riesce a ottenere l'ID amministratore Jsession
  4. Usando quell'ID Jsession l'utente non amministratore esegue alcune funzioni di amministrazione.

Può essere considerato un rompicapo di sessione?

    
posta SW DEV07 20.07.2017 - 14:44
fonte

1 risposta

1

Grazie. In realtà è un dirottamento di sessione. Quindi chiunque abbia un utente amministratore JSessionID può impersonare ed eseguire la funzione di amministrazione. Per mitigare il problema del dirottamento della sessione, è possibile adottare le seguenti misure

  1. Avere la convalida XSS in vigore per la tua applicazione
  2. cambia il tuo JSessionID dopo il login, ad esempio evita la fissazione della sessione
  3. Fornire una rigorosa sicurezza del livello di trasporto, ad esempio distribuire l'applicazione in HTTPS (SSL / TLS)
  4. Il timeout della visione dovrebbe essere ridotto il più possibile
  5. I cookie devono essere impostati su HTTPONLY e protetti. Raccomandazione OWASP
risposta data 12.08.2017 - 17:47
fonte

Leggi altre domande sui tag