آسیب پذیری های امنیتی

آسیب پذیری Session Fixation

Security-Vulnerabilities
شرح آسیب پذیری:

این آسیب پذیری زمانی رخ می دهد که Session اختصاص یافته به کاربر، قبل و بعد از Login یکی بوده و تغییر نکند و مقدار ثابتی در نظر گرفته شود. با توجه به این مورد، مهاجم می تواند با استفاده از حملاتی که منجر به Session Hijacking می گردد (مانند XSS یا MITM) اقدام به دزدیدن مقدار Session نماید. با در نظر گرفتن عدم تغییر مقدار Session، زمانی که کاربر در سامانه (سایت) Login نماید، مقدار Session ای که حالا هم در اختیار کاربر و هم در اختیار مهاجم است، معتبر شده و مهاجم می تواند همانند کاربر به تمامی قابلیت های سامانه (سایت) دسترسی یابد.

 

چگونه این آسیب پذیری را رفع کنیم ؟

– مقدار Session باید در هر بار پست شدن فرم ورود Renew گردد. مقدار جدید اختصاص یافته باید به صورت Random انتخاب شده و تعداد کاراکتر ها به نحوی در نظر گرفته شود که امکان یکسان بودن این مقدار با مقدار های اختصاص یافته گذشته وجود نداشته باشد.
– کاربر نباید بتواند به صورت دستی مقدار Session را انتخاب نماید حتی اگر این مقدار با مقادیر قبلی متفاوت باشد. مقدار Session باید به صورت Random توسط سیستم انتخاب گردد.
author-avatar

درباره میلاد خوشدل

کارشناسی رشته مهندسی نرم افزار و کارشناسی ارشد رشته ی معماری کامپیوتر 8 سال تجربه کاری در زمینه امنیت و تست نفوذ و در حال حاضر نیز به عنوان محقق امنیتی در یک شرکت معتبر داخلی مشغول به کار هستم.

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

چهارده + شش =