Шта је фиксација сесије?

Постоји много различитих типова безбедносних пропуста који се налазе на веб локацијама, а једна занимљива се зове „Фиксација сесије“. Фиксирање сесије је проблем где нападач може да утиче на идентификатор сесије ака ИД сесије корисника, а затим га користи да добије приступ свом налогу. Постоје два начина на која ова врста рањивости може да функционише, она може дозволити нападачу да пронађе или подеси ИД сесије другог корисника.

Како се изводи напад фиксације сесије

ИД сесије корисника је често кључни део аутентификације на веб локацији и у многим случајевима је једини податак који идентификује конкретног корисника пријављеног. Проблем са овим је у томе што ако нападач може да подеси или научи ИД сесије другог корисника, може да користи токен сесије и онда може да делује као корисник.

Обично се то ради тако што се корисник превари да кликне на неку врсту пхисхинг линка. Сама веза је потпуно легитимна, али укључује променљиву која поставља одређени ИД сесије. Ако се корисник тада пријави са ИД-ом сесије, а сервер му не додели нови ИД сесије логин, нападач може једноставно да подеси свој ИД сесије да буде исти и да има приступ жртви рачун.

Други начин на који нападач може да открије ИД сесије жртве је ако се појављује у УРЛ-у. На пример, ако нападач може да превари жртву да јој пошаље везу и она укључује ИД сесије жртве, нападач може да користи ИД сесије да приступи налогу жртве. У неким случајевима, ово се може догодити потпуно случајно. На пример, ако корисник копира УРЛ са ИД-ом сесије и налепи га пријатељу или на форуму, сваки корисник који прати везу биће пријављен са корисничким налогом.

Ремедијације фиксације сесије

Постоји неколико решења за ово питање, а као и увек, најбоље решење је да се примени што више поправки као део стратегије одбране у дубини. Прво решење је да промените ИД сесије корисника када се пријаве. Ово спречава нападача да икада може да утиче на ИД сесије пријављеног корисника. Такође можете да конфигуришете сервер да прихвата само ИД-ове сесија које је генерисао и да експлицитно одбије било које ИД-ове сесије које је дао корисник.

Веб-сајт треба да буде конфигурисан тако да никада не поставља било какве осетљиве корисничке детаље као што је ИД сесије у УРЛ-у и требало би да га постави у параметар ГЕТ или ПОСТ захтева. Ово спречава корисника да случајно компромитује сопствени ИД сесије. Коришћењем и ИД-а сесије и засебног токена за аутентификацију удвостручујете количину информација које нападач треба да добије и спречавате нападаче да приступе сесијама са познатим ИД-овима сесије.

Од виталног је значаја да сви важећи ИД-ови сесије за корисника буду поништени када се кликне на дугме за одјаву. Могуће је поново генерисати ИД сесије на сваки захтев, ако су ИД-ови претходних сесија поништени, то такође спречава нападаче да користе познати ИД сесије. Овај приступ такође значајно смањује прозор претње ако корисник открије сопствени ИД сесије.

Омогућавањем више ових приступа, стратегија дубинске одбране може елиминисати ово питање као безбедносни ризик.