Ataque 12 – Session Fixation

Postado em Atualizado em

roubo-carro_grandeDescrição:
Consiste no atacante conseguir sequestrar de alguma forma (vírus, trojan, horse, worms, Man in the Middle, Cross Site Request Forgery) o identificador da sessão do usuário autenticado durante o uso sem SSL. Depois do usuário se autenticar, a solução ativa o canal SSL, mas mantém o mesmo numero de identificador da sessão.

Riscos:
Acesso à solução como se fosse o usuário autenticado.

Solução:
O ID da sessão deve ser alterado cada vez que partes da solução estabelecer comunicação SSL em páginas restritas.

Para todas as informações, veja o post inicial.

“Sujeitai-vos, portanto, a Deus; mas resisti ao diabo, e ele fugirá de vós.” Tiago 4:7