CWE ID: 384
Name: Session Fixation
Die Authentifizierung eines Benutzers oder die anderweitige Etablierung einer neuen Benutzersitzung ohne Invalidierung eines bestehenden Session-Identifiers eröffnet einem Angreifer die Möglichkeit, authentifizierte Sitzungen zu stehlen.
Effektivität: Unknown
Beschreibung: Invalidieren Sie alle bestehenden Session-Identifiers vor der Autorisierung einer neuen Benutzersitzung.
Effektivität: Unknown
Beschreibung: Für Plattformen wie ASP, die keine neuen Werte für Session-ID-Cookies generieren, verwenden Sie ein sekundäres Cookie. Bei diesem Ansatz wird ein sekundäres Cookie im Browser des Benutzers auf einen zufälligen Wert gesetzt und eine Session-Variable auf denselben Wert gesetzt. Sollte die Session-Variable und der Cookie-Wert jemals nicht übereinstimmen, invalidieren Sie die Session und zwingen Sie den Benutzer zur erneuten Anmeldung.
