web session fixation

con questo nome e' uscito un paper[1] , che vi segnalo. il paper tratta di
possibili attacchi ad appz web-based, pensando al fatto che ,dopo un login
di un utente legittimo, per evitare di reinserire pw e/o per mantenere la
sessione, viene generato e mandato al client un "session ID". E descrive
approcci per appropriarsene.. (non solo.. ma per riassumere)
Sebbene si basi su cose fondamentalmente note, mi e' piaciuto l'approccio
"creativo" dei xss bug che imperversano di questi tempi.. e cioe posto di
conoscere la vittima su quale sito va', e che questo sia vuln al xss e che
sfrutti i cookie come "surrogato temporaneo" del login, invece di bekkare il
cookie vero dal client... l'idea e' forzarne uno proprio (quindi noto) sul
client medesimo, tramite appunto xss (e altro..)
vabbe il paper e' piu chiaro di me ,fidatevi :) (sono anche le 3am pero')

[1] [ http://www.acros.si/papers/session_fixation.pdf .. non e' uscito
oggi.. ha almeno 15 gg.. ma cmq..



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List