¿Qué es la fijación de sesiones?

Hay muchos tipos diferentes de vulnerabilidades de seguridad que se encuentran en los sitios web, una interesante se llama "Reparación de sesión". La fijación de sesión es un problema en el que un atacante puede influir en el identificador de sesión, también conocido como el identificador de sesión de un usuario y luego usarlo para obtener acceso a su cuenta. Hay dos formas en que este tipo de vulnerabilidad puede funcionar, puede permitir que el atacante encuentre o establezca la identificación de sesión de otro usuario.

Cómo se realiza un ataque de fijación de sesión

La identificación de sesión de un usuario es a menudo una parte clave de la autenticación en el sitio web y, en muchos casos, es el único dato que identifica al usuario específico que inició sesión. El problema con esto es que si un atacante puede establecer o aprender la identificación de sesión de otro usuario, pueden usar el token de sesión y luego actuar como usuario.

Normalmente, esto se hace engañando al usuario para que haga clic en un tipo de enlace de phishing. El enlace en sí es completamente legítimo, pero incluye una variable que establece una identificación de sesión específica. Si el usuario inicia sesión con la ID de sesión y el servidor no le asigna una nueva ID de sesión al iniciar sesión, el atacante puede simplemente configurar su ID de sesión para que sea la misma y tener acceso a la cuenta de la víctima.

Otra forma en que el atacante puede descubrir la identificación de sesión de la víctima es si aparece en una URL. Por ejemplo, si el atacante puede engañar a la víctima para que le envíe un enlace que incluye la identificación de sesión de la víctima, el atacante puede usar la identificación de sesión para acceder a la cuenta de la víctima. En algunos casos, esto puede suceder completamente por accidente. Por ejemplo, si el usuario copia la URL con la identificación de la sesión y la pega a un amigo o en un foro, cualquier usuario que siga el enlace iniciará sesión con la cuenta del usuario.

Correcciones de la fijación de sesiones

Hay algunas soluciones para este problema y, como siempre, la mejor solución es implementar tantas correcciones como sea posible como parte de una estrategia de defensa en profundidad. La primera solución es cambiar la identificación de sesión del usuario cuando inicia sesión. Esto evita que un atacante pueda influir en la identificación de sesión de un usuario que haya iniciado sesión. También puede configurar el servidor para que solo acepte los ID de sesión que ha generado y para rechazar explícitamente cualquier ID de sesión proporcionado por el usuario.

El sitio web debe configurarse para que nunca coloque detalles confidenciales del usuario, como el ID de sesión, en la URL y debe colocarlo en un parámetro de solicitud GET o POST. Esto evita que el usuario comprometa accidentalmente su propia identificación de sesión. Al usar un ID de sesión y un token de autenticación separado, duplica la cantidad de información que el atacante necesita obtener y evita que los atacantes accedan a sesiones con ID de sesión conocidos.

Es vital que todos los ID de sesión válidos para un usuario se invaliden cuando se hace clic en el botón de cierre de sesión. Es posible volver a generar el ID de sesión en cada solicitud, si se invalidan los ID de sesión anterior, esto también evita que los atacantes utilicen un ID de sesión conocido. Este enfoque también reduce significativamente la ventana de amenaza si un usuario revela su propia identificación de sesión.

Al habilitar varios de estos enfoques, una estrategia de defensa en profundidad puede eliminar este problema como un riesgo de seguridad.