La risoluzione di sessione è difficile da risolvere?

0

Trovato vulnerabilità di fissazione della sessione in un paio di giganti della tecnologia. Dando i passi che ho fatto:

1. Accedi al tuo account in un browser (Browser 1).   2. Estrai cookie utilizzando l'estrattore di cookie.   3. Importa il cookie su un altro browser (Browser 2).   4. Hai effettuato l'accesso al tuo account senza password.

Nota: in alcuni casi, posso accedere al secondo browser anche dopo il logout dal primo browser ( Entrambi i browser hanno gli stessi cookie per connettersi mentre importavo il cookie dal primo browser al secondo browser ).

Question 1: Why this is happening? 
Question 2: Probable way's for resolve this issue. 
Question 3: Is this even a session fixation vulnerability? 
Question 4: Should I report it to their bug bounty program? 
    
posta Shakir 16.03.2017 - 05:49
fonte

1 risposta

1

Question 1: Why this is happening?

La tua sessione è legata solo a un cookie di sessione, non all'IP o ai dettagli del browser. Questo è del tutto comune - anche Github lo fa. (L'utilizzo di proprietà aggiuntive per associare la sessione può avere conseguenze indesiderate, ad esempio potrebbe portare a disconnessioni casuali quando un utente aggiorna il proprio browser o modifica il proprio IP.)

Question 2: Probable way's for resolve this issue.

Non è un grosso problema di sicurezza. La copia dei cookie da un browser a un altro richiede l'accesso alla memoria dei cookie di un browser che un normale utente malintenzionato non ha. Se si desidera comunque garantire che un utente non possa riutilizzare la propria sessione in un browser diverso, è possibile associare proprietà aggiuntive, ad es. invalida una sessione non appena cambia l'intestazione User-Agent .

Question 3: Is this even a session fixation vulnerability?

No, non lo è. In un attacco di fissazione di sessione si forza un ID di sessione noto su una vittima (non autenticata). Questo ID rimane valido dopo l'accesso della vittima, in modo che tu possa riutilizzarlo per essere autenticato come vittima tu stesso. Ma senza un'ulteriore vulnerabilità, in primo luogo non è possibile iniettare il cookie di sessione nel browser della vittima. La pagina OWASP su di essa ha alcuni esempi che mostrano quali possibili precondizioni possono portare a una vulnerabilità di fissazione della sessione.

Question 4: Should I report it to their bug bounty program?

Molto probabilmente è fuori portata. Con le orde di cacciatori di taglie di bug devi aspettarti che problemi come questi siano già trattati su siti di alto profilo e se persistono è di progettazione.

In some cases, I am able to login into second browser even after logout from first browser.

Un logout dovrebbe invalidare la sessione corrente ma non necessariamente terminare tutte le altre sessioni attive. Solo perché ti sei disconnesso da Github sul tuo telefono, non vuoi necessariamente essere disconnesso anche dal tuo browser.

Questa demo mostra sull'esempio di Github che è spesso permesso copiare lo stesso cookie di sessione da un client a un altro:

  • Accedi su Github.
  • Copia il cookie della sessione utente user_session dal contenitore dei cookie del browser. (Non puoi farlo con JS perché il cookie è HttpOnly .)
  • $ curl -b "user_session=[your session id]" https://github.com/
  • Scoprirai che la risposta HTML è ancora autenticata. (Dovresti vedere il tuo nome utente e i tuoi repository nel codice.)
risposta data 16.03.2017 - 06:21
fonte

Leggi altre domande sui tag