Фиксация сеанса - Session fixation
Эта статья включает в себя список общих Рекомендации, но он остается в основном непроверенным, потому что ему не хватает соответствующих встроенные цитаты.Апрель 2012 г.) (Узнайте, как и когда удалить этот шаблон сообщения) ( |
В компьютерной сетевой безопасности атаки фиксации сеанса попытаться эксплуатировать уязвимость системы, которая позволяет одному человеку фиксировать (находить или устанавливать) чужие идентификатор сеанса. Большинство атак с фиксацией сеанса основаны на веб-технологиях и в большинстве своем полагаются на идентификаторы сеанса, принимаемые от URL-адреса (Строка запроса ) или же
Сценарии атак
Алиса имеет счет в банке http://unsafe.example.com/
Мэллори намеревается получить деньги Алисы из ее банка.
Алиса имеет разумный уровень доверия к Мэллори и будет посещать ссылки, которые ей посылает Мэллори.
Простой сценарий атаки
Простой сценарий:
- Мэллори определил, что
http://unsafe.example.com/
принимает любой идентификатор сеанса, принимает идентификаторы сеанса из строк запроса и не имеет проверки безопасности.http://unsafe.example.com/
таким образом, небезопасно. - Мэллори отправляет Алисе электронное письмо: «Эй, посмотри, в нашем банке есть классная новая функция сводки счетов,
http://unsafe.example.com/?SID=I_WILL_KNOW_THE_SID
". Мэллори пытается привязать SID кI_WILL_KNOW_THE_SID
. - Алиса заинтересована и навещает
http://unsafe.example.com/?SID=I_WILL_KNOW_THE_SID
. Появляется обычный экран входа в систему, и Алиса входит в систему. - Посещения Мэллори
http://unsafe.example.com/?SID=I_WILL_KNOW_THE_SID
и теперь имеет неограниченный доступ к аккаунту Алисы.
Атака с использованием SID, сгенерированного сервером
Заблуждение состоит в том, что, если сервер принимает только идентификаторы сеанса, сгенерированные сервером, он безопасен от фиксации. Это ложный.
Сценарий:
- Посещения Мэллори
http://vulnerable.example.com/
и проверяет, какой SID возвращается. Например, сервер может ответить:Установить cookie: SID = 0D6441FEA4496C2
. - Теперь Мэллори может отправить Алисе электронное письмо: «Оцените эту новую интересную функцию в нашем банке,
http://vulnerable.example.com/?SID=0D6441FEA4496C2
." - Алиса входит в систему с фиксированным идентификатором сеанса
SID = 0D6441FEA4496C2
. - Посещения Мэллори
http://vulnerable.example.com/?SID=0D6441FEA4496C2
и теперь имеет неограниченный доступ к аккаунту Алисы.
Атаки с использованием файлов cookie между субдоменами
Это похоже на межсайтовый файл cookie, за исключением того, что он не зависит от уязвимостей браузера. Скорее, он основан на том факте, что файлы cookie с подстановочными знаками могут быть установлены одним субдоменом, что влияет на другие субдомены.
Сценарий:
- Сайт
www.example.com
выдает субдомены ненадежным третьим лицам - Одна такая партия, Мэллори, которая теперь контролирует
evil.example.com
, заманивает Алису на свой сайт - Посещение
evil.example.com
устанавливает cookie сеанса с доменом.example.com
в браузере Алисы - Когда Алиса навещает
www.example.com
, этот файл cookie будет отправлен вместе с запросом, как указано в спецификации для файлов cookie, и Алиса будет иметь сеанс, указанный в файле cookie Мэллори. - Если Алиса войдет в систему, Мэллори сможет использовать ее учетную запись.
Каждый из этих сценариев атаки приводит к тому, что Мэллори успешно получает доступ к функциям и данным, обычно зарезервированным для Алисы.
Альтернативный сценарий атаки не требует от Алисы входа на сайт. Скорее, просто зафиксировав сеанс, Мэллори сможет шпионить за Алисой и злоупотреблять данными, которые она вводит. Например, Мэллори может использовать вышеупомянутые атаки, чтобы предоставить Алисе ее собственный аутентифицированный сеанс, поэтому Алиса начнет использовать сайт со всей аутентификацией Мэллори. Если Алиса решит купить что-то на этом сайте и введет данные своей кредитной карты, Мэллори может получить эти данные (или другие конфиденциальные данные), просмотрев исторические данные, хранящиеся для учетной записи. Этот тип эксплуатации Session Fixation отличается от «классических» сценариев эксплуатации, поскольку он происходит в неаутентифицированной части приложения или отменяет аутентификацию (злоумышленник регистрирует жертву в системе).[1]
Контрмеры
Не принимать идентификаторы сеанса из переменных GET / POST
Идентификаторы сеанса в URL (строка запроса, переменные GET) или переменные POST не рекомендуются, поскольку они упрощают эту атаку - легко создать ссылки или формы, которые устанавливают переменные GET / POST.
- Идентификатор безопасности передается другим людям, когда пользователи вырезают и вставляют «интересные ссылки» из адресной строки в чаты, форумы, сообщества и т. Д.
- SID хранится во многих местах (журнал истории браузера, журнал веб-сервера, журналы прокси, ...)
Примечание. Файлы cookie используются вкладками и всплывающими окнами браузера. Если ваша система требует обращения к одному и тому же домену (www.example.com/?code=site1 и www.example.com/?code=site2), файлы cookie могут конфликтовать друг с другом между вкладками.
Для преодоления этого ограничения может потребоваться отправить идентификатор сеанса по URL-адресу. По возможности используйте site1.example.com или site2.example.com, чтобы в файлах cookie не было конфликтов доменов. Это может повлечь затраты на дополнительные сертификаты SSL.
Такое поведение можно увидеть на многих сайтах, открыв другую вкладку и попытавшись выполнить параллельные результаты поиска. Одна из сессий станет непригодной.
Лучшее решение: подтверждение личности
Этой атаки можно в значительной степени избежать, изменив идентификатор сеанса при входе пользователя в систему. Если каждый запрос, специфичный для пользователя, требует, чтобы пользователь был аутентифицирован («вошел в систему») на сайте, злоумышленнику потребуется знать идентификатор жертвы. сеанс входа в систему. Однако, когда жертва переходит по ссылке с фиксированным идентификатором сеанса, ей нужно будет войти в свою учетную запись, чтобы делать что-нибудь «важное», как и они сами. На этом этапе их идентификатор сеанса изменится, и злоумышленник не сможет сделать ничего «важного» с этим идентификатором анонимного сеанса.
Аналогичный метод можно использовать для решения фишинг проблема. Если пользователь защищает свою учетную запись двумя паролями, то в значительной степени это можно решить.
Этот метод также полезен против подделка межсайтового запроса атаки.
Решение: хранить идентификаторы сеансов в файлах cookie HTTP.
Идентификатор сеанса в большинстве современных систем по умолчанию хранится в HTTP cookie, который имеет умеренный уровень безопасности, пока сеансовая система игнорирует значения GET / POST.[нужна цитата ] Однако это решение уязвимо для подделка межсайтового запроса, и это не соответствует требование безгражданства REST.
Решение: используйте идентификатор сеанса SSL / TLS
При включении HTTPS безопасности, некоторые системы позволяют приложениям получать SSL / TLS идентификатор сеанса. Использование идентификатора сеанса SSL / TLS очень безопасно, но многие языки веб-разработки не предоставляют для этого надежных встроенных функций.
Регенерировать SID для каждого запроса
Мера противодействия фиксации сеанса - генерировать новый идентификатор сеанса (SID) при каждом запросе. Если это будет сделано, то даже если злоумышленник может обманом заставить пользователя принять известный SID, SID будет недействительным, когда злоумышленник попытается повторно использовать SID. Реализация такой системы проста, о чем свидетельствует следующее:
- Получить предыдущий идентификатор сеанса
OLD_SID
из HTTP-запроса. - Если
OLD_SID
пусто, пусто или нет сеанса с SID =OLD_SID
существует, создайте новый сеанс. - Создать новый идентификатор сеанса
NEW_SID
с безопасным генератором случайных чисел. - Пусть сессия будет идентифицироваться по SID =
NEW_SID
(и больше не по SID =OLD_SID
) - Передайте новый SID клиенту.
Пример:
Если Мэллори успешно обманом заставит Алису посетить http://victim.example.com/?SID=I_KNOW_THE_SID
, этот HTTP-запрос отправляется на жертва.example.com
:
ПОЛУЧАТЬ /? SID = I_KNOW_THE_SID HTTP/1.1Хозяин: жертва.example.com
жертва.example.com
принимает SID = I_KNOW_THE_SID
, что обычно было бы плохо. Тем не мение, жертва.example.com
безопасен, поскольку выполняет регенерацию сеанса. жертва.example.com
получает следующий ответ:
HTTP/1.1 200 OkSet-Cookie: SID = 3134998145AB331F
Алиса теперь будет использовать SID = 3134998145AB331F
это неизвестно Мэллори, и SID = I_KNOW_THE_SID
является недействительным. Таким образом, Мэллори не удается зафиксировать сеанс.
К сожалению, регенерация сеанса не всегда возможна. Известно, что проблемы возникают при использовании стороннего программного обеспечения, такого как апплеты ActiveX или Java, и когда подключаемые модули браузера взаимодействуют с сервером. Стороннее программное обеспечение может вызывать выход из системы, или сеанс может быть разделен на два отдельных сеанса.
Если реализация сеансов включает в себя передачу SID через переменные GET или POST, то это также может сделать кнопку «назад» в большинстве браузеров непригодной для использования, поскольку в этом случае пользователь будет использовать более старый, недопустимый идентификатор сеанса из предыдущего запроса.
Принимать только идентификаторы безопасности, созданные сервером
Один из способов повысить безопасность - не принимать идентификаторы сеанса, которые не были созданы сервером. Однако, как отмечалось выше, это не предотвращает все атаки фиксации сеанса.
если (!исет($ _SESSION["SERVER_GENERATED_SID"])) { session_destroy(); // Уничтожаем все данные в сеансе}session_regenerate_id(); // Создание нового идентификатора сеанса$ _SESSION["SERVER_GENERATED_SID"] = истинный;
Функция выхода
Функция выхода из системы полезна, поскольку она позволяет пользователям указать, что сеанс не должен разрешать дальнейшие запросы. Таким образом, атаки могут быть эффективны только во время активного сеанса. Обратите внимание, что следующий код не выполняет Подделка межсайтовых запросов проверки, потенциально позволяя злоумышленнику вынудить пользователей выйти из веб-приложения.
если (выйти) { session_destroy(); // Уничтожаем все данные в сеансе}
Истекло время ожидания старых SID
Эта защита проста в реализации и имеет то преимущество, что обеспечивает определенную степень защиты от несанкционированного доступа пользователей к учетной записи авторизованного пользователя с помощью машины, которая могла остаться без присмотра.
Сохраните переменную сеанса, содержащую отметку времени последнего доступа, сделанного этим SID. Когда этот SID используется снова, сравните текущую метку времени с той, которая хранится в сеансе. Если разница больше установленного числа, например 5 минут, уничтожьте сеанс. В противном случае обновите переменную сеанса с помощью текущей метки времени.
Удалить сеанс, если Реферер подозрительный
При посещении страницы большинство веб-браузеров устанавливают Реферер заголовок - страница, содержащая ссылку, по которой вы перешли на эту страницу.
Когда пользователь входит на сайт, на который вряд ли можно будет ссылаться извне (например, банковские сайты или электронная почта ), и это не тот сайт, на котором пользователи будут оставаться в системе в течение длительного времени, реферер должен быть с этого сайта. Любой другой реферер должен считаться подозрительным. Однако, если исходный запрос поступает со страницы HTTPS, реферер будет удален, поэтому вы не можете полагаться на эту систему безопасности.
Например, http://vulnerable.example.com/
можно использовать следующую проверку безопасности:
если (strpos($ _SERVER["HTTP_REFERER"], 'http://vulnerable.example.com/') !== 0) { session_destroy(); // Уничтожаем все данные в сеансе}session_regenerate_id(); // Создание нового идентификатора сеанса
Убедитесь, что дополнительная информация согласована на протяжении всего сеанса
Один из способов дальнейшего повышения безопасности - убедиться, что пользователь выглядит одним и тем же конечным пользователем (клиентом). Это немного усложняет выполнение фиксации сеанса и других атак.
Поскольку все больше и больше сетей начинают соответствовать RFC 3704 и другие анти-спуфинг практики, айпи адрес становится более надежным как идентификатор «того же источника». Таким образом, безопасность веб-сайта может быть улучшена путем проверки согласованности исходного IP-адреса на протяжении всего сеанса.
Это можно сделать следующим образом:
если ($ _SERVER["REMOTE_ADDR"] != $ _SESSION["PREV_REMOTEADDR"]) { session_destroy(); // Уничтожаем все данные в сеансе}session_regenerate_id(); // Создание нового идентификатора сеанса$ _SESSION["PREV_REMOTEADDR"] = $ _SERVER["REMOTE_ADDR"];
Однако есть некоторые моменты, которые следует учитывать перед применением этого подхода.
- Несколько пользователей могут использовать один IP-адрес. Нередко все здание использует один IP-адрес, используя NAT.
- У одного пользователя может быть несовместимый IP-адрес. Это верно для пользователей за прокси-серверами (например, AOL клиенты). Это также верно для некоторых мобильных пользователей / пользователей в роуминге, а также пользователей, подключенных к Интернету с балансировкой нагрузки. Пользователи с Расширения конфиденциальности IPv6 enabled также может изменить свои приватные IPv6-адреса в любое время.
- Он не будет работать надежно с клиентами с двойным стеком, поскольку запросы будут перемещаться между IPv4 и IPv6.
- Это не будет работать надежно с мобильными пользователями, поскольку мобильные пользователи также перемещаются между адресами.
Для некоторых сайтов дополнительная безопасность перевешивает неудобство, а для других - нет.
Пользовательский агент
Браузеры идентифицируют себя по HTTP-заголовкам «User-Agent». Этот заголовок обычно не изменяется во время использования; это было бы крайне подозрительно, если бы это произошло. Веб-приложение может использовать обнаружение User-Agent, чтобы предотвратить кражу сеансов злоумышленниками. Однако это легко обойти, поскольку злоумышленник может легко захватить пользовательский агент жертвы с помощью своего собственного сайта, а затем подделать его во время атаки. Предлагаемая система безопасности основана на безопасность через безвестность.
если ($ _SERVER["HTTP_USER_AGENT"] != $ _SESSION["PREV_USERAGENT"]) { session_destroy(); // Уничтожаем все данные в сеансе}session_regenerate_id(); // Создание нового идентификатора сеанса$ _SESSION["PREV_USERAGENT"] = $ _SERVER["HTTP_USER_AGENT"];
Однако есть некоторые моменты, которые следует учитывать перед применением этого подхода.
- Несколько пользователей могут иметь один и тот же пользовательский агент браузера в Интернет-кафе.
- У нескольких пользователей может быть один и тот же браузер по умолчанию (например, Internet Explorer 6 в Windows XP SP3 или мини-браузер в мобильном телефоне).
Но в некоторых случаях User Agent может измениться юридически. Следующие примеры относятся к тем же пользователям.
- Смартфон, экран которого повернулся с момента последнего запроса.
Mozilla / 5.0 (Linux; U; Android 2.2; en-us; DROID2 Build / VZW) AppleWebKit / 533.1 (KHTML, например Gecko) Версия / 4.0 Mobile Safari / 533.1 854X480 motorola DROID2
Mozilla / 5.0 (Linux; U; Android 2.2; en-us; DROID2 Build / VZW) AppleWebKit / 533.1 (KHTML, например Gecko) Версия / 4.0 Mobile Safari / 533.1 480X854 motorola DROID2
- Режим совместимости с Internet Explorer:
Mozilla / 4.0 (совместимый; MSIE 8.0; Windows NT 5.1; Trident / 4.0; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
Mozilla / 4.0 (совместимый; MSIE 7.0; Windows NT 5.1; Trident / 4.0; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
- Пользователь получает доступ к веб-сайту через прокси-сервер, распределенный на нескольких серверах, не все из которых обновлены до последней версии программного обеспечения прокси.
Mozilla / 5.0 (Macintosh; U; Intel Mac OS X 10.6; en-US; rv: 1.9.2) Gecko / 20100115 Firefox / 3.6 (FlipboardProxy / 0.0.5; + http: //flipboard.com/browserproxy)
Mozilla / 5.0 (Macintosh; U; Intel Mac OS X 10.6; en-US; rv: 1.9.2) Gecko / 20100115 Firefox / 3.6 (FlipboardProxy / 1.1; + http: //flipboard.com/browserproxy)
Глубокая защита
Эта секция возможно содержит оригинальные исследования.Июль 2019) (Узнайте, как и когда удалить этот шаблон сообщения) ( |
Глубокая защита заключается в сочетании нескольких контрмер. Идея проста: если одно препятствие легко преодолеть, преодолеть несколько препятствий будет очень сложно.
Стратегия глубокоэшелонированной защиты может включать:
- Включите HTTPS (для защиты от других проблем)
- Правильная конфигурация (не принимать внешние SID, устанавливать тайм-аут и т. Д.)
- Выполнить session_regeneration, выйти из поддержки и т. Д.
Ссылки HTTP не передаются с SSL / TLS (HTTPS).
Следующий сценарий PHP демонстрирует несколько таких контрмер, объединенных в комплексную защиту:
если (исет($ _GET['ВЫЙТИ']) || $ _SERVER["REMOTE_ADDR"] !== $ _SESSION["PREV_REMOTEADDR"] || $ _SERVER["HTTP_USER_AGENT"] !== $ _SESSION["PREV_USERAGENT"]) { session_destroy();}session_regenerate_id(); // Создание нового идентификатора сеанса$ _SESSION["PREV_USERAGENT"] = $ _SERVER["HTTP_USER_AGENT"];$ _SESSION["PREV_REMOTEADDR"] = $ _SERVER["REMOTE_ADDR"];
Обратите внимание, что этот код проверяет текущий REMOTE_ADDR (IP-адрес пользователя) и User-agent на соответствие REMOTE_ADDR и User-agent предыдущего запроса. Это может быть неудобно для некоторых сайтов, как описано выше.