Session Fixation

Lexikon webových zranitelností

zpět
Název: Session Fixation
Zařazení: Session management
Závažnost: Nízká - Vysoká

Popis:

Session Fixation je zranitelnost session managementu, která se projevuje tím, že je uživateli po přihlášení ponechán stejný identifikátor relace (SID), který měl tento uživatel před přihlášením.

Při zneužití této zranitelnosti útočník podstrčí své oběti neaktivní identifikátor relace a počká, až se uživatel přihlásí a tím relaci s podstrčeným identifikátorem aktivuje. Následně útočník použije stejné session ID pro přístup k aplikaci pod identitou své oběti.

Obrana spočívá ve vygenerování nového identifikátoru relace ve chvíli, kdy se uživatel úspěšně přihlásí k aplikaci.