Hay muchos tipos de vulnerabilidades de seguridad en los sitios web, una interesante llamada «Corrección de sesión». La fijación de sesión es un problema en el que un atacante puede influir en el ID de sesión, es decir, el ID de sesión de un usuario, y luego usarlo para acceder a su cuenta. Este tipo de vulnerabilidad puede funcionar de dos formas: puede permitir que el atacante encuentre o establezca el ID de sesión de otro usuario.
Cómo se realiza un ataque de fijación de sesión
El ID de sesión de un usuario suele ser una parte clave de la autenticación de un sitio web y, en muchos casos, es el único dato que identifica al usuario que ha iniciado sesión específico. El problema con esto es que si un atacante puede establecer o aprender la identificación de sesión de otro usuario, puede usar el token de sesión y luego actuar como un usuario.
Normalmente, esto se hace engañando al usuario para que haga clic en algún tipo de enlace de phishing. El enlace en sí es bastante legítimo, pero incluye una variable que define un ID de sesión específico. Si el usuario inicia sesión con el ID de sesión y el servidor no le asigna un nuevo ID de sesión al iniciar sesión, el atacante puede simplemente configurar su ID de sesión para que sea el mismo y tener acceso a la cuenta de la víctima.
Otra forma de que el atacante averigüe el ID de sesión de la víctima es ver si aparece en una URL. Por ejemplo, si el atacante puede engañar a la víctima para que le envíe un enlace e incluye la identificación de sesión de la víctima, el atacante puede usar la identificación de sesión para acceder a la cuenta de la víctima. En algunos casos, esto puede suceder completamente por accidente. Por ejemplo, si el usuario copia la URL con la identificación de la sesión y la pega en un amigo o en un foro, cualquier usuario que siga el enlace iniciará sesión con la cuenta del usuario.
Remedios para la fijación de sesiones
Hay algunas soluciones para este problema y, como siempre, la mejor solución es implementar tantas correcciones como sea posible como parte de una estrategia de defensa en profundidad. La primera solución es cambiar el ID de sesión del usuario cuando inicia sesión. Esto evita que un atacante pueda influir en el ID de sesión de un usuario que ha iniciado sesión. También puede configurar el servidor para que solo acepte los ID de sesión que ha generado y para rechazar explícitamente los ID de sesión proporcionados por el usuario.
El sitio web debe configurarse para que nunca coloque detalles confidenciales del usuario, como el ID de sesión, en la URL y debe colocarlo en un parámetro de solicitud GET o POST. Esto evita que el usuario comprometa accidentalmente su propia ID de sesión. Al utilizar tanto un ID de sesión como un token de autenticación independiente, duplica la cantidad de información que el atacante necesita para obtener y evita que los atacantes accedan a sesiones con ID de sesión conocidos.
Es esencial que todas las ID de sesión válidas para un usuario se invaliden cuando hace clic en el botón de cierre de sesión. Es posible volver a generar el ID de sesión en cada solicitud, si los ID de sesión anterior no son válidos, esto también evita que los atacantes utilicen el ID de sesión conocido. Este enfoque también reduce drásticamente la ventana de amenaza si un usuario revela su propia ID de sesión.
Al permitir más de uno de estos enfoques, una estrategia de defensa en profundidad puede eliminar este problema como un riesgo de seguridad.