The attacker induces a client to establish a session with the target software using a session identifier provided by the attacker. Once the user successfully authenticates to the target software, the attacker uses the (now privileged) session identifier in their own transactions. This attack leverages the fact that the target software either relies on client-generated session identifiers or maintains the same session identifiers after privilege elevation.
Description
Attack Execution Flow
3
1
Step 1
Explore[Setup the Attack] Setup a session: The attacker has to setup a trap session that provides a valid session identifier, or select an arbitrary identifier, depending on the mechanism employed by the application. A trap session is a dummy session established with the application by the attacker and is used solely for the purpose of obtaining valid session identifiers. The attacker may also be required to periodically refresh the trap session in order to obtain valid session identifiers.
The attacker chooses a predefined identifier that they know.
The attacker creates a trap session for the victim.
AI Translation
[Configurare l'Attacco] Configurare una sessione: L'attacker deve configurare una sessione trappola che fornisca un identificatore di sessione valido, oppure selezionare un identificatore arbitrario, a seconda del meccanismo impiegato dall'applicazione. Una sessione trappola è una sessione fittizia stabilita con l'applicazione dall'attacker ed è utilizzata esclusivamente allo scopo di ottenere identificatori di sessione validi. Potrebbe anche essere necessario che l'attacker aggiorni periodicamente la sessione trappola per ottenere identificatori di sessione validi.
L'attacker sceglie un identificatore predefinito di cui conosce già l'uso.
L'attacker crea una sessione trappola per la vittima.
Attack Techniques
-
The attacker chooses a predefined identifier that they know.
-
The attacker creates a trap session for the victim.IT: L'attaccante sceglie un identificatore predefinito che conosce.
2
Step 2
Experiment[Attract a Victim] Fixate the session: The attacker now needs to transfer the session identifier from the trap session to the victim by introducing the session identifier into the victim's browser. This is known as fixating the session. The session identifier can be introduced into the victim's browser by leveraging cross site scripting vulnerability, using META tags or setting HTTP response headers in a variety of ways.
Attackers can put links on web sites (such as forums, blogs, or comment forms).
Attackers can establish rogue proxy servers for network protocols that give out the session ID and then redirect the connection to the legitimate service.
Attackers can email attack URLs to potential victims through spam and phishing techniques.
AI Translation
Sperimentazione
[Attrarre una Vittima] Fissare la sessione: L'attaccante deve ora trasferire l'identificatore di sessione dalla sessione di trappola alla vittima introducendo l'identificatore di sessione nel browser della vittima. Questo processo è noto come fissare la sessione. L'identificatore di sessione può essere inserito nel browser della vittima sfruttando vulnerabilità di cross site scripting, utilizzando tag META o impostando intestazioni di risposta HTTP in diversi modi.
Gli attaccanti possono inserire link su siti web (come forum, blog o moduli di commento).
Gli attaccanti possono stabilire server proxy fraudolenti per i protocolli di rete che rilasciano l'ID di sessione e poi reindirizzano la connessione al servizio legittimo.
Gli attaccanti possono inviare URL di attacco via email alle potenziali vittime tramite tecniche di spam e phishing.
Attack Techniques
-
Attackers can establish rogue proxy servers for network protocols that give out the session ID and then redirect the connection to the legitimate service.
-
Attackers can put links on web sites (such as forums, blogs, or comment forms).IT: Gli attaccanti possono creare server proxy fraudolenti per i protocolli di rete che rilasciano l'ID di sessione e quindi reindirizzano la connessione al servizio legittimo.
-
Attackers can email attack URLs to potential victims through spam and phishing techniques.IT: Gli attaccanti possono creare server proxy fraudolenti per i protocolli di rete che rilasciano l'ID di sessione e quindi reindirizzano la connessione al servizio legittimo.
3
Step 3
Exploit[Abuse the Victim's Session] Takeover the fixated session: Once the victim has achieved a higher level of privilege, possibly by logging into the application, the attacker can now take over the session using the fixated session identifier.
The attacker loads the predefined session ID into their browser and browses to protected data or functionality.
The attacker loads the predefined session ID into their software and utilizes functionality with the rights of the victim.
AI Translation
[Abuso della sessione della vittima] Prendere il controllo della sessione fissata: Una volta che la vittima ha ottenuto un livello superiore di privilegio, possibilmente effettuando l'accesso all'applicazione, l'attaccante può ora prendere il controllo della sessione utilizzando l'identificatore di sessione fissato.
L'attaccante carica l'ID di sessione predefinito nel proprio browser e naviga verso dati o funzionalità protette.
L'attaccante carica l'ID di sessione predefinito nel proprio software e utilizza funzionalità con i diritti della vittima.
Attack Techniques
-
The attacker loads the predefined session ID into their software and utilizes functionality with the rights of the victim.
-
The attacker loads the predefined session ID into their browser and browses to protected data or functionality.IT: L'attaccante carica l'ID di sessione predefinito nel proprio software e utilizza funzionalità con i diritti della vittima.
Mitigations
3
Regenerate And Destroy Session Identifiers When There Is A Change In The Level Of Privilege: This Ensures That Even Though A Potential Victim May Have Followed A Link With A Fixated Identifier, A New One Is Issued When The Level Of Privilege Changes.
Use A Strict Session Management Mechanism That Only Accepts Locally Generated Session Identifiers: This Prevents Attackers From Fixating Session Identifiers Of Their Own Choice.
Use Session Identifiers That Are Difficult To Guess Or Brute-Force: One Way For The Attackers To Obtain Valid Session Identifiers Is By Brute-Forcing Or Guessing Them. By Choosing Session Identifiers That Are Sufficiently Random, Brute-Forcing Or Guessing Becomes Very Difficult.
Consequences
Security Scopes Affected
Access Control
Authorization
Confidentiality
Potential Impacts
Gain Privileges
Indicators
2
There are no indicators for the server since a fixated session identifier is similar to an ordinarily generated one. However, too many invalid sessions due to invalid session identifiers is a potential warning.
A client can be suspicious if a received link contains preset session identifiers. However, this depends on the client's knowledge of such an issue. Also, fixation through Cross Site Scripting or hidden form fields is usually difficult to detect.
Relationships
Parent CAPECs
Resources Required
1
None: No specialized resources are required to execute this type of attack.