Español | English
rss facebook linkedin Twitter

Seguridad en el manejo de Sesiones Web – VI

Comprobación insuficiente del identificador de sesión

Hasta ahora los ataques contra la seguridad de las sesiones Web que hemos visto han consistido en intentar conseguir un identificador valido; robándolo, adivinándolo o fijándolo.

Pero, ¿Qué pasaría si todo esto no fuese necesario? ¿Qué pasa si pudiésemos acceder a la aplicación con un identificador incorrecto?

Estaríamos ante un caso de comprobación insuficiente o incorrecta del identificador de sesión. Que aunque parezca algo obvio, suele ser la vulnerabilidad más habitual relativa al manejo de sesiones.

Cuando se produce:

Este error se produce cuando un componente de la aplicación que debería estar protegido mediante sesiones, es accesible sin un identificador de sesión o con un identificador incorrecto.

Cuando hablamos de identificador incorrecto podemos hablar de:

  • Un ID inventado.

  • Un ID caducado.

  • Un ID creado a partir de la modificación de otro valido.

  • Un ID asociado a un usuario no autenticado.


En todos estos casos estamos ante la misma situación: Un usuario que no ha seguido el proceso de login correctamente puede acceder a una parte del aplicativo. Aunque dependiendo del caso el riesgo será mayor o menor.

Ataque:

Para localizar si algún punto de la aplicación es vulnerable a este fallo, un atacante lo que hará será realizar un barrido de todos los posibles puntos de acceso. Intentando conectar sin identificador de sesión o con un identificador incorrecto.

Para esto el atacante necesita conocer, aunque sea de forma aproximada, la estructura de la aplicación y todos aquellos componentes que se pueden invocar remotamente.

Solución:

La solución es simple. Hacer que el mecanismo de comprobación de sesiones funcione. Y comprobar que este mecanismo se aplica a todos aquellos elementos de la aplicación que quieren ser protegidos.

Ramon Pinuaga

S21sec Auditoría


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login