Difendersi dal session fixation: guida e rimedi 

Indice dei contenuti

• Come funziona un attacco session fixation 
• Esempi di session fixation 
• Session fixation vulnerabilities nei web server 
• Rimedi session fixation: prevenire e proteggere le sessioni 

Il session fixation è un tipo di attacco informatico che si verifica quando un malintenzionato impone un identificatore di sessione (session identifiers) a un utente prima che quest’ultimo esegua l’accesso a un’applicazione web.  

Questa tecnica permette all’attaccante di ‘gain access‘ alla sessione dell’utente una volta che quest’ultimo si è autenticato.  

Sebbene spesso venga confuso con il session hijacking, il session fixation rappresenta un rischio specifico e sottile che richiede una comprensione profonda per essere prevenuto. 

Come funziona un attacco session fixation 

Un attacco di session fixation si basa sull’idea di far utilizzare alla vittima un identificatore di sessione già noto all’attaccante.

Ciò può avvenire attraverso vari mezzi, come l’invio di un ‘malicious URL‘ che contiene un identificatore di sessione specifico.  

Quando la vittima clicca su questo link e accede al sito web, il suo browser adotta l’identificatore di sessione predefinito. Successivamente, quando l’utente effettua il login, l’attaccante, che già conosce l’identificatore di sessione, può facilmente accedere alla sessione autenticata dell’utente. 

Questo attacco è particolarmente pericoloso perché non richiede all’attaccante di rubare l’identificatore di sessione dell’utente in tempo reale, come avviene nel session hijacking.

Invece, l’attaccante predispone l’identificatore e aspetta che la vittima esegua il login, permettendo così all’attaccante di prendere il controllo della sessione autenticata. 

Esempi di session fixation 

Gli attacchi di session fixation possono manifestarsi in diversi scenari.

Esempio:
L’attaccante che invia alla vittima un link contenente un identificatore di sessione, come HTTP header o cookie di sessione, via email o messaggio di testo. Una volta che la vittima clicca sul link e accede alla login page, il suo browser accetta l’identificatore di sessione prestabilito.

Esempio:
Quando l’attaccante utilizza tecniche di social engineering per convincere la vittima a inserire un identificatore di sessione in un campo specifico su un sito web compromesso. 

In questi casi, l’attaccante può utilizzare tecniche come la manipolazione dell’user agent del browser della vittima o l’invio di script malevoli per forzare l’adozione dell’identificatore di sessione impostato.

Una volta che la vittima è autenticata, l’attaccante può facilmente accedere all’account dell’utente, sfruttando la vulnerabilità della sessione. 

Session fixation vulnerabilities nei web server 

I web server sono spesso vulnerabili agli attacchi di session fixation quando non gestiscono correttamente i session identifiers.  

Esempio:
Se un web server non rigenera l’identificatore di sessione dopo che un utente si è autenticato, l’attaccante può mantenere il controllo della sessione dell’utente anche dopo il login. Questa mancata rigenerazione è una delle principali session fixation vulnerabilities. 

Inoltre, alcuni server web potrebbero accettare identificatori di sessione attraverso parametri URL, cookie di sessione, o HTTP header, aumentando il rischio di attacker accessing la sessione utente.  

L’adozione di misure preventive come la rigenerazione dell’identificatore di sessione (session regenerate ID) al momento dell’autenticazione può significativamente ridurre il rischio di questo tipo di attacco. 

Rimedi session fixation: prevenire e proteggere le sessioni 

Esistono vari rimedi per proteggersi dagli attacchi di session fixation.

• Session regenerate ID
  Una delle soluzioni più efficaci è l’implementazione della rigenerazione dell’identificatore di sessione (session regenerate ID) al momento dell’autenticazione. Questo metodo garantisce che un nuovo identificatore di sessione venga assegnato una volta che l’utente si autentica, rendendo inutile l’identificatore originariamente fissato dall’attaccante. 
• Session identifiers
  Un altro rimedio consiste nell’evitare l’accettazione di session identifiers tramite URL e optare per l’utilizzo sicuro dei cookie di sessione. Assicurarsi che i cookie di sessione siano contrassegnati come HttpOnly e Secure, in modo che non possano essere facilmente accessibili tramite script o trasmessi su connessioni non sicure, rappresenta un passo fondamentale per mitigare il rischio. 

Inoltre, è consigliabile monitorare costantemente i user logs per rilevare comportamenti sospetti che potrebbero indicare un tentativo di gain access non autorizzato, come accessi simultanei da indirizzi IP differenti o da dispositivi con differenti user agent. 

In conclusione possiamo dire che il session fixation è una minaccia concreta nella sicurezza delle applicazioni web, ma può essere contrastato efficacemente con una corretta implementazione delle misure di sicurezza.  

Comprendere come funziona questo type of attack e adottare i rimedi session fixation descritti in questo articolo permette di proteggere le sessioni utente e prevenire l’accesso non autorizzato agli account degli utenti.

Proteggere gli utenti da un attacco di session fixation è essenziale per mantenere l’integrità e la sicurezza delle applicazioni web. 

Domande frequenti 

1. Cos’è un attacco di session fixation? 
   Un attacco in cui un malintenzionato impone un identificatore di sessione a un utente prima che questi acceda a un’applicazione web. 
2. Come funziona il session fixation? 
   L’attaccante predefinisce un identificatore di sessione e aspetta che la vittima acceda al sito web, utilizzando quel session identifier per autenticarsi. 
3. Quali sono gli esempi comuni di session fixation? 
   L’invio di un link con un identificatore di sessione via email o l’uso di tecniche di social engineering per far adottare un identificatore predefinito alla vittima. 
4. Quali sono le vulnerabilità di session fixation nei web server? 
   Web server che non rigenerano l’identificatore di sessione dopo l’autenticazione o che accettano identificatori di sessione tramite URL sono particolarmente vulnerabili. 
5. Quali sono i rimedi contro il session fixation? 
   Rigenerare l’identificatore di sessione dopo l’autenticazione e usare cookie di sessione sicuri sono tra i rimedi più efficaci. 
6. Cosa significa session regenerate ID? 
   È la pratica di assegnare un nuovo identificatore di sessione dopo che un utente si è autenticato, prevenendo l’uso di un identificatore di sessione già fissato. 
7. In che modo il session fixation differisce dal session hijacking? 
   Nel session fixation l’attaccante impone un identificatore di sessione prima del login, mentre nel session hijacking l’attaccante ruba un identificatore di sessione già esistente. 
8. Perché i cookie di sessione sono importanti nella prevenzione del session fixation? 
   I cookie di sessione possono essere configurati per essere sicuri e inaccessibili agli script, riducendo il rischio che un attaccante possa sfruttarli. 
9. Cosa sono gli HTTP header e come sono usati nel session fixation? 
   Gli HTPP header possono contenere identificatori di sessione che, se non gestiti correttamente, possono essere sfruttati in un attacco di session fixation. 
10. Qual è il ruolo del social engineering negli attacchi di session fixation? 
    Il social engineering può essere usato per ingannare la vittima e convincerla a utilizzare un identificatore di sessione fissato dall’attaccante, facilitando l’attacco.