Session Stealing

Lexikon webových zranitelností

zpět
Název: Session Stealing
Zařazení: Session management
Závažnost: Nízká

Popis:

Tato hrozba je často označována také výrazem Session Hijacking, nebo v češtině výrazem Únos sezení. Útok je založen na zjištění identifikátoru relace (Session ID) jiného uživatele, a použití tohoto identifikátoru ze strany útočníka.

Vzhledem k tomu, že webové servery autentizují uživatele po jejich přihlášení právě tímto identifikátorem, bude aplikace útočníka, který přistupuje s cizím platným identifikátorem, považovat právě za uživatele, kterému tento identifikátor náleží.

Obrana proti únosům sezení musí být založena na svázání relace s IP adresou, obsahem HTTP hlavičky User-Agent, případně s dalšími informacemi, které jednoznačně identifikují uživatele, jenž se k aplikaci legitimně přihlásil.