[Day23] Session fixation

前言

被Netflix fixation了，差点忘记发文

正文

概念

CWE-384

Authenticating a user, or otherwise establishing a new user session, without invalidating any existing session identifier gives an attacker the opportunity to steal authenticated sessions.

Session fixation可以让攻击者诱使一般用户打开一个已经被(攻击者)决定的(predefined)的session identifier，这让攻击者可以接管用户的session，达成帐户接管的效果。

跟其他Session Hijack攻击类似，攻击者的目的都是获取用户的session identifier。不一样的是，Session fixation更依赖"诱骗"受害者使用自己预定义的identifier。

要达成Session fixation通常需要

1. 得到会被该Web Application承认的有效session ID
2. 诱骗受害者使用攻击者定义好的ID进行身分验证

若达成以上条件，攻击者就可以冒充受害者的身分访问该网站(或Web Application)，例如:

一个具有Session fixation漏洞的网站通过sid的参数接受session identifier，攻击者使用社交工程手段让受害者访问被(攻击者)定义的恶意网址(或是透过POST的表单):

http://example.com/?sid=xxxxxxxx

只要受害者对此网址发起request，并通过网站进行身分验证，攻击者就可以再使用上述的网址冒充受害者身分。

另外一种方法是在HTTP Header Injection提过的方法，也可以达成类似的效果，通过窜改Web Server的Response，攻击者就可能透过注入Set-Cookie的Header指定一个cookie的值，当受害者收到Response之後，就可以达成一样的效果

当然也可以搭配之前提过的几种攻击方法，例如HTTP Response Splitting、Meta tag injection，进行组合性的攻击。或是透过XSS也有可能可以做到，如:

http://example.com/q=<script>document.cookie="sid="xxxxxxxx";</script>

要注意的是，也并非是只接受从Server端生成的session identifier就不会遭到此攻击，攻击者可以先向目标网站发出一个普通的request，获取一个从该网站生成的session id, 再将此发送给受害者。

Case Study

Shopify
H1514 Session Fixation on multiple shopify-built apps on *.shopifycloud.com and *.shopifyapps.com

Session fixation on public talk links