Mi az a munkamenet rögzítés?

Számos különböző típusú biztonsági rést találunk a webhelyeken, az egyik érdekes a „Session Fixation”. A munkamenet-rögzítés olyan probléma, amelynél a támadó befolyásolhatja a felhasználó munkamenet-azonosítóját, más néven munkamenet-azonosítóját, majd ezzel hozzáférhet a fiókjához. Az ilyen típusú sebezhetőség kétféleképpen működhet: lehetővé teheti a támadó számára, hogy megkeresse vagy beállítsa egy másik felhasználó munkamenet-azonosítóját.

Hogyan történik a munkamenetrögzítési támadás

A felhasználó munkamenet-azonosítója gyakran kulcsfontosságú része a webhely hitelesítésének, és sok esetben ez az egyetlen adat, amely azonosítja az adott felhasználót, aki bejelentkezett. Ezzel az a probléma, hogy ha egy támadó be tudja állítani vagy megtanulja egy másik munkamenet-azonosítóját felhasználó, használhatják a munkamenet tokent, és ezután felhasználóként léphetnek fel.

Ez általában úgy történik, hogy ráveszik a felhasználót, hogy rákattintson egy adathalász hivatkozásra. Maga a hivatkozás teljesen legitim, de tartalmaz egy változót, amely beállít egy meghatározott munkamenet-azonosítót. Ha a felhasználó ezután bejelentkezik a munkamenet-azonosítóval, és a szerver nem rendel hozzá új munkamenet-azonosítót a bejelentkezéskor, a támadó egyszerűen beállíthatja a munkamenet-azonosítóját, és hozzáférhet az áldozat fiókjához.

A támadó egy másik módja annak, hogy felfedezze az áldozat munkamenet-azonosítóját, ha az megjelenik egy URL-ben. Például, ha a támadó ráveheti az áldozatot, hogy küldjön neki egy linket, amely tartalmazza az áldozat munkamenet-azonosítóját, a támadó a munkamenet-azonosítóval hozzáférhet az áldozat fiókjához. Egyes esetekben ez teljesen véletlenül megtörténhet. Például, ha a felhasználó kimásolja az URL-t a munkamenet-azonosítóval, és beilleszti egy barátjába vagy egy fórumba, a linket követő bármely felhasználó bejelentkezik a felhasználói fiókjával.

Session fixing remedations

Van néhány megoldás erre a problémára, és mint mindig, a legjobb megoldás az, ha a lehető legtöbb javítást végrehajtja a mélyreható védelmi stratégia részeként. Az első megoldás a felhasználó munkamenet-azonosítójának módosítása bejelentkezéskor. Ez megakadályozza, hogy a támadó valaha is befolyásolni tudja a bejelentkezett felhasználó munkamenet-azonosítóját. A kiszolgálót úgy is beállíthatja, hogy mindig csak az általa generált munkamenet-azonosítókat fogadja el, és kifejezetten elutasítja a felhasználó által megadott munkamenet-azonosítókat.

A webhelyet úgy kell beállítani, hogy soha ne helyezzen el semmilyen bizalmas felhasználói adatot, például munkamenet-azonosítót az URL-ben, és azt egy GET vagy POST kérésparaméterben kell elhelyezni. Ez megakadályozza, hogy a felhasználó véletlenül veszélybe sodorja saját munkamenet-azonosítóját. A munkamenetazonosító és a külön hitelesítési token használatával megduplázza a támadónak megszerzett információ mennyiségét, és megakadályozza, hogy a támadók ismert munkamenet-azonosítókkal hozzáférjenek a munkamenetekhez.

Létfontosságú, hogy a felhasználó minden érvényes munkamenet-azonosítója érvénytelen legyen, amikor a kijelentkezés gombra kattintanak. Lehetőség van a munkamenet-azonosító újragenerálására minden kérésnél, ha a korábbi munkamenet-azonosítók érvénytelenek, ez megakadályozza, hogy a támadók ismert munkamenet-azonosítót használjanak. Ez a megközelítés jelentősen csökkenti a fenyegetési ablakot is, ha a felhasználó nyilvánosságra hozza saját munkamenet-azonosítóját.

Azáltal, hogy több ilyen megközelítést is lehetővé tesz, egy mélyreható védelmi stratégia kiküszöbölheti ezt a problémát, mint biztonsági kockázatot.