CWE-384: Session Fixation
CWE ID: 384
Name: Session Fixation
Beschreibung
Die Authentifizierung eines Benutzers oder die anderweitige Etablierung einer neuen Benutzersitzung ohne Invalidierung eines bestehenden Session-Identifiers eröffnet einem Angreifer die Möglichkeit, authentifizierte Sitzungen zu stehlen.
Risikominderungsmaßnahmen
Maßnahme (Architecture and Design)
Effektivität: Unknown
Beschreibung: Invalidieren Sie alle bestehenden Session-Identifiers vor der Autorisierung einer neuen Benutzersitzung.
Maßnahme (Architecture and Design)
Effektivität: Unknown
Beschreibung: Für Plattformen wie ASP, die keine neuen Werte für Session-ID-Cookies generieren, verwenden Sie ein sekundäres Cookie. Bei diesem Ansatz wird ein sekundäres Cookie im Browser des Benutzers auf einen zufälligen Wert gesetzt und eine Session-Variable auf denselben Wert gesetzt. Sollte die Session-Variable und der Cookie-Wert jemals nicht übereinstimmen, invalidieren Sie die Session und zwingen Sie den Benutzer zur erneuten Anmeldung.
Ist Ihre IT-Infrastruktur betroffen?
Schwachstellen wie CWE-384: Session Fixation können von Angreifern ausgenutzt werden. Unsere IT-Sicherheitsexperten in Salzburg helfen Ihnen, Verwundbarkeiten in Ihrer Infrastruktur zu identifizieren und zu beheben.
Schwachstellen-Scan anfragen Kostenlos beraten lassen