Session Fixation Attack
Session Fixation Attack je druh útoku, který se využívá v počítačové bezpečnosti. Pomocí tohoto útoku útočník záměrně manipuluje sezení uživatele na webových stránkách, což mu umožňuje získat přístup k citlivým informacím, např. hesla a osobní údaje.
Tento útok se provádí tak, že útočník vytvoří “lákavý” odkaz na webovou stránku, kterou chce oběť navštívit. Tento odkaz má však v sobě skrytý kód, kterýmu se říká “session ID”. Když oběť klikne na odkaz a připojí se k webové stránce, server jí přidělí nové session ID a požádá ji, aby se přihlásila. Pokud oběť zadá své přihlašovací údaje, server si pamatuje session ID spojené s tímto účtem a do budoucna tuto hodnotu použije jako identifikátor sezení.
Útočník však může znát původní session ID, které použil v odkazu, a může takto oklamat server. Pokud útočník umí oběť přimět kliknout na svůj lákavý odkaz, server si pamatuje session ID, které útočník vytvořil. Když oběť poté zadá své přihlašovací údaje, server spojí toto sezení s původní zmanipulovanou hodnotou session ID, což umožní útočníkovi převzít toto sezení.
Aby oběť ochránila svá sezení, musí se ujistit, že používá bezpečné protokoly a aplikace a že nekliká na neznámé odkazy nebo odkazy od neznámých odesílatelů. Taky by mohla používat funkci “zapamatovat si mne” nebo nastavit automatické odhlášení po určité době.