Test della correzione della sessione quando il cookie non è cambiato

0

Stavo testando un'applicazione web in cui i cookie (ID di sessione, valori di sessione) sono gli stessi per tutte le volte. Anche dopo il successo dell'autenticazione, rimane invariato. L'ID di sessione viaggia sotto forma di un cookie HTTP.

Per indagare su una vulnerabilità di fissazione della sessione, ho inviato al mio collega un link come http://yoursite.com/?SID=1209023 , perché pensavo che il sito web avrebbe automaticamente assegnato l'ID della sessione vittima 1209023 per la futura navigazione della vittima sul sito. Ma non ha funzionato.

Quindi la mia applicazione non è influenzata in questo modo ma ha ancora gli stessi cookie. Esiste un altro modo per verificare l'esistenza di una vulnerabilità di fissazione della sessione nella mia applicazione?

    
posta Shakir 28.02.2017 - 09:57
fonte

2 risposte

2

Affinché ci sia una vulnerabilità di fissazione della sessione, il server che in qualche modo risparmia in qualche modo usa un input che tu (l'attaccante) può controllare come valore per l'ID di sessione. OWASP ha un pratico elenco :

  • Token di sessione nell'argomento URL. (Questo è quello che hai provato, ma tieni presente che il parametro potrebbe avere qualsiasi nome e devi capire di cosa si tratta. Non deve essere SID .)
  • Token di sessione in un campo modulo nascosto.
  • ID sessione in un cookie. Poiché non puoi impostare i cookie su più domini, devi sfruttare qualche altra vulnerabilità per sfruttarli, come XSS o HTML injection (di un tag META).

Se il server imposta sempre un ID sessione da solo, senza coinvolgere alcun input utente nel processo, questo potrebbe non essere sfruttabile.

    
risposta data 28.02.2017 - 13:01
fonte
0

Potresti prendere in considerazione l'utilizzo di Burp e sovrascrivere il cookie emesso dal server (pre-auth) con il tuo valore.

Oppure, ancora più semplice, puoi avviare una richiesta con qualsiasi valore di cookie che scegli e convalidare se il server in qualsiasi punto lo modifica (una singola richiesta sarebbe sufficiente per controllare).

Hai già saputo che il valore del cookie non è cambiato dopo l'autenticazione, quindi il potenziale è sicuramente lì - sembra che tu abbia solo bisogno di elaborare i parametri giusti da usare.

Il modo in cui lo sfrutti effettivamente è un'altra cosa - ma sapere che ce n'è uno, e poi convenire che dovresti probabilmente seguire le raccomandazioni di OWASP e creare una nuova sessione sull'autenticazione, è metà della battaglia.

    
risposta data 28.02.2017 - 13:20
fonte

Leggi altre domande sui tag