it-swarm.com.de

Ändern der Sitzungs-ID nach der Anmeldung

Auf meine Webanwendung kann nur authentifizierten Benutzern zugegriffen werden. Vor dem Anmelden kann der Benutzer die Hauptseite nur mit einer Schaltfläche zum Anmelden sehen. Die Anwendung weist auf der Hauptseite eine Sitzungs-ID zu, die Authentifizierung wird von einer anderen Anwendung verwaltet.

Nach der Anmeldung und der Rückkehr zu meiner Anwendung hat der Benutzer immer noch dieselbe Sitzungs-ID. Es wird jedoch nach dem Abmelden geändert.

OWASP ASVS gibt an, dass die Sitzungs-ID beim Anmelden geändert werden sollte, aber ich sehe keinen klaren Punkt, warum dies für diese Situation erforderlich ist. Ist es notwendig, es zu ändern?

8
user187205

Der Grund, warum es am besten ist, die Sitzungs-IDs beim Anmelden zu ändern, liegt in potenziellen Man-in-the-Middle-Schwachstellen. Wenn ein Angreifer Ihre Sitzungs-ID erfasst, kann er sie als legitimen Benutzer ausgeben. Dies wird als Sicherheitsanfälligkeit bezüglich Sitzungsfixierung bezeichnet. Das Ändern der Sitzungs-IDs bei jeder Anmeldung hilft, diese Sicherheitsanfälligkeit zu vermeiden, da die vorherige Sitzungs-ID als ungültig angesehen wird und der Angreifer sie nicht mehr zur Authentifizierung verwenden kann.

Verweise:

https://www.owasp.org/index.php/Session_fixationhttps://www.owasp.org/index.php/Session_hijacking_attack

8
Henry F