Dado que los protocolos HTTP y HTTPS son protocolos desautenticados, las aplicaciones Web deben utilizar métodos de seguimiento de los usuarios a través de sus páginas y controlar también el acceso a recursos que requieran la autenticación. La manera más común de control es utilizar identificadores de Sesión (SessionID). Estos SessionID se pueden aplicar a través de cookies, campos ocultos o de los campos que figuran dentro de las URL de la página
Muchas aplicaciones Web implementan sistemas débiles de control de identificación de Sesión y permitirán a los clientes de conexión definir la SessionID. La aplicación de Web chequeara al usuario que utiliza SessionID, pero le requerirá generalmente al usuario a identificarse (por ejemplo. información de identificación por un formulario de entrada) antes de conseguir acceso al contenido "restringido" de la página.
En esta clase de ataque el mensaje de phishing contiene una conexión Web al servidor verdadero de la aplicación, pero contiene también un campo predefinido de SessionID. El sistema de atacadores sondea constantemente al servidor de la aplicación para una página restringida (por ejemplo. una página de banca electrónica que permita las transferencias de fondos) utilizando el SessionID. Hasta que un usuario válido autentique contra esta SessionID, el atacador recibirá los errores del servidor Web (por ejemplo. 404 file not found, 302 server redirect, etc.).
El phisher debe esperar hasta que un receptor del mensaje siga el enlace y se autentifique la SessionID. Una vez autentificado, el servidor de la aplicación permitirá cualquier conexión que utiliza el SessionID autorizado a conseguir el acceso al contenido restringido. Por lo tanto, el atacador puede utilizar una SessionID fija para conseguir el acceso a una página restringida para llevar su ataque.
Muchas aplicaciones Web implementan sistemas débiles de control de identificación de Sesión y permitirán a los clientes de conexión definir la SessionID. La aplicación de Web chequeara al usuario que utiliza SessionID, pero le requerirá generalmente al usuario a identificarse (por ejemplo. información de identificación por un formulario de entrada) antes de conseguir acceso al contenido "restringido" de la página.
En esta clase de ataque el mensaje de phishing contiene una conexión Web al servidor verdadero de la aplicación, pero contiene también un campo predefinido de SessionID. El sistema de atacadores sondea constantemente al servidor de la aplicación para una página restringida (por ejemplo. una página de banca electrónica que permita las transferencias de fondos) utilizando el SessionID. Hasta que un usuario válido autentique contra esta SessionID, el atacador recibirá los errores del servidor Web (por ejemplo. 404 file not found, 302 server redirect, etc.).
El phisher debe esperar hasta que un receptor del mensaje siga el enlace y se autentifique la SessionID. Una vez autentificado, el servidor de la aplicación permitirá cualquier conexión que utiliza el SessionID autorizado a conseguir el acceso al contenido restringido. Por lo tanto, el atacador puede utilizar una SessionID fija para conseguir el acceso a una página restringida para llevar su ataque.
2 comentarios:
El identificador de sesión es un número único que un servidor Web asigna a un usuario específico por la duración de la visita (sesión) de este usuario. La identificación de la sesión se puede almacenar como un cookie, un campo de un formato, o una URL (dirección Web). Algunos servidores Web generan identificadores de sesión aumentando números estáticos, sin embargo la mayoría de los servidores utiliza algoritmos que involucran métodos más complejos como la inclusión de la fecha y hora de la visita junto con otras variables definidas por el administrador del servidor.
Cada vez que un usuario de Internet visita un sitio Web, se asigna una nueva identificación de sesión. Cerrar un visor y para volverlo a abrir genera una nueva identificación de sesión, aunque en algunas ocasiones se mantiene la identificación mientras el visor esté abierto (en otra página) y regresa. En algunos casos, los servidores Web terminan una sesión y asignan una nueva sesión posterior a algunos minutos sin actividad, como forma de protección.
Los identificadores de sesión en su forma convencional no ofrecen una forma segura de navegación. Hackers habilidosos pueden adquirir la identificación de sesión mediante un proceso llamado "predicción de sesión" y luego simular ser el usuario autorizado en un ataque conocido como "secuestro de sesión.".
Jéssica Castilla
El identificador de sesión es un número único que un servidor Web asigna a un usuario específico por la duración de la visita (sesión) de este usuario. La identificación de la sesión se puede almacenar como un cookie, un campo de un formato, o una URL (dirección Web). Algunos servidores Web generan identificadores de sesión aumentando números estáticos, sin embargo la mayoría de los servidores utiliza algoritmos que involucran métodos más complejos como la inclusión de la fecha y hora de la visita junto con otras variables definidas por el administrador del servidor.
Cada vez que un usuario de Internet visita un sitio Web, se asigna una nueva identificación de sesión. Cerrar un visor y para volverlo a abrir genera una nueva identificación de sesión, aunque en algunas ocasiones se mantiene la identificación mientras el visor esté abierto (en otra página) y regresa. En algunos casos, los servidores Web terminan una sesión y asignan una nueva sesión posterior a algunos minutos sin actividad, como forma de protección.
Los identificadores de sesión en su forma convencional no ofrecen una forma segura de navegación. Hackers habilidosos pueden adquirir la identificación de sesión mediante un proceso llamado "predicción de sesión" y luego simular ser el usuario autorizado en un ataque conocido como "secuestro de sesión.".
Jéssica Castilla
Publicar un comentario