Ho letto che entrambi sono convenzionalmente uguali. Ma ci devono essere alcune differenze che differenziano i due termini. Qualcuno per favore spiega.
Ho letto che entrambi sono convenzionalmente uguali. Ma ci devono essere alcune differenze che differenziano i due termini. Qualcuno per favore spiega.
Finalmente ho trovato la risposta. Se siamo in grado di rubare i cookie di qualcuno (Say user John) e accedere alle loro sessioni, siamo in grado di farlo solo se l'utente (John) è connesso al suo account da qualche altra parte. In realtà è chiamato la fissazione della sessione. Ma una volta se si è disconnesso, il valore del cookie per quella sessione scade e l'utente malintenzionato perde anche l'accesso all'account di John.
Ora venendo al caso di Session Recreation, l'attaccante è in grado di dirottare la sessione di John anche se si è disconnesso dal proprio account. Se qualcuno conosce questo concetto con qualsiasi altro nome, non esitare a condividerlo qui. Inserendo questo come risposta accettata qui.
Penso che la ricreazione di sessione o la ripetizione di una sessione significhi ricreare l'attività dell'utente per una determinata sessione. Tipicamente come una forma di risoluzione dei problemi e / o analisi. È successo qualcosa di brutto con l'utente __. In base all'attività registrata, hanno fatto delle _ cose prima di riscontrare il problema. Potrei quindi tentare di riprodurre la situazione che porta a quel problema, incontrarlo e risolverlo.
La fissazione della sessione si riferisce al forzare o indurre una vittima a utilizzare una determinata sessione da un utente malintenzionato. L'attaccante avrebbe quindi conosciuto la sessione (e potrebbe rubarla) che la vittima sta usando perché l'attaccante l'ha data a loro.
Come già detto in Paraplastic2:
Con la fissazione delle sessioni si crea prima una sessione dannosa (quella che si controlla) e si tenta di usare questa sessione "preparata / fissata", in modo da poter accedere alle informazioni sulla sessione (dati che si desidera manipolare o rubare).
Il termine "ricreazione" non sembra essere quello comunemente usato in quanto non è possibile trovare molti risultati su Google, ad esempio.
La controparte più logica sembra essere la riproduzione di una sessione come descritto in: link
Quindi la differenza con la fissazione sarebbe che non si fornisce l'identificatore di sessione malevola all'utente, ma in qualche modo si ottiene la mano sulla sessione esistente che l'utente ha avviato da sé (ad esempio rubando cookie xss).
Senza più contesto del termine "ricreazione di sessione" è difficile convalidare se questo è ciò che intendi.
Nel contesto della sicurezza nella gestione delle sessioni, la ricreazione della sessione è consigliata dopo l'accesso o eventuali modifiche dei privilegi.
Secondo anche il cheat della gestione delle sessioni di OWASP:
""" La rigenerazione dell'ID di sessione è obbligatoria per prevenire gli attacchi di fissazione delle sessioni [3], laddove un utente malintenzionato imposta l'ID di sessione sul browser Web delle vittime anziché raccogliere l'ID della sessione delle vittime, come nella maggior parte degli altri attacchi basati su sessioni e indipendentemente da utilizzando HTTP o HTTPS. Questa protezione attenua l'impatto di altre vulnerabilità basate sul Web che possono essere utilizzate anche per avviare attacchi di fissazione delle sessioni, come la divisione della risposta HTTP o XSS [4]. "" "
Fonte: link
Forse la cosa migliore è leggere su OWASP, affinare la tua definizione di "sessione di ricreazione" in base a ciò che leggi lì, e decidere quale sia la differenza tu stesso. Senza voler sembrare irriverente, ci sono alcuni di noi che discutono su cosa intendi con questo, quindi invece di un sacco di avanti e indietro, questa potrebbe essere la via da seguire. Ho collegato la pagina di gestione della sessione sopra - link - e Paraplastic2 aveva un altro collegamento pratico da OWASP.
Buona fortuna!
Leggi altre domande sui tag authentication cookies session-fixation