Você pode me dar um exemplo de um ataque de fixação de sessão?

Question

Eu li sobre fixação de sessão e, pelo que eu entendo que obriga o usuário a usar a sessão de um atacante. Isso é correto? Você pode me dar um exemplo de como isso pode ofender o usuário?

Answer 1

Eu não normalmente como para postar links para Wikipedia, mas aqui está um link para uma boa explicação sobre Wikipedia ...

Aqui está a carne dele:

• Alice tem uma conta no banco http: // inseguro / . Infelizmente, Alice não é muito mais experiente de segurança.

• Mallory está fora para obter o dinheiro de Alice do banco.

• Alice tem um nível razoável de confiança em Mallory, e visitará ligações Mallory envia-la.

  1. Mallory determinou que http: // inseguro / aceita qualquer identificador de sessão, aceita identificadores de sessão a partir de seqüências de consulta e não tem segurança validação. http:. // inseguro / , assim, não é seguro
  2. Mallory envia Alice um e-mail: "Ei, veja isso, há uma característica resumo da conta nova legal em nosso banco, http: // inseguro / SID = I_WILL_KNOW_THE_SID ". Mallory está tentando fixar o SID para I_WILL_KNOW_THE_SID.
  3. Alice está interessado e visitas http: // inseguro / SID = I_WILL_KNOW_THE_SID ?. O log-on tela normal aparece, e Alice inicia sessão.
  4. http: // inseguro / SID = I_WILL_KNOW_THE_SID e agora tem acesso ilimitado a conta de Alice?.