¿Me puede dar un ejemplo de un ataque de fijación de sesión?

Question

He leído acerca de la fijación de sesión y por lo que entiendo que obliga al usuario a utilizar la sesión de un atacante. ¿Es esto correcto? ¿Me puede dar un ejemplo de cómo esto podría ofender al usuario?

Answer 1

Normalmente no me gusta publicar enlaces a Wikipedia, pero aquí hay un enlace a una muy buena explicación de Wikipedia ...

Aquí está la carne de ella:

• Alice tiene una cuenta en el banco http: // inseguro / . Por desgracia, Alice no es comprensión de la seguridad muy.

• Mallory es a por el dinero de Alice desde el banco.

• Alice tiene un nivel razonable de confianza en Mallory, y visitará enlaces Mallory le envía.

  1. Mallory ha determinado que http: // inseguro / acepta ningún identificador de sesión, acepta identificadores de sesión de cadenas de consulta y no tiene la seguridad validación. http:. // inseguro / está por lo tanto no asegura
  2. Mallory Alice envía un correo electrónico: "Hey, mira esto, hay una nueva característica fresca resumen de cuenta en nuestro banco, http: // inseguro / SID = I_WILL_KNOW_THE_SID ". Mallory está tratando de fijar el SID a I_WILL_KNOW_THE_SID.
  3. Alice está interesado y visitas http: // inseguro / SID = I_WILL_KNOW_THE_SID ?. El registro en pantalla usual aparece, y Alice inicia la sesión.
  4. http: // inseguro / SID = I_WILL_KNOW_THE_SID y ahora tiene acceso ilimitado a la cuenta de Alice?.