Session Fixation Attack
Een “Session Fixation Attack” is een aanval die kan worden uitgevoerd op websites. Het werkt zo: de aanvaller krijgt een sessie-id van de website in handen. Een sessie-id is een stukje code waardoor de website weet dat je bent ingelogd. De aanvaller zorgt er dan voor dat je diezelfde sessie-id gaat gebruiken. Dat doet hij bijvoorbeeld door je een link te sturen met daarin al de sessie-id.
Als je op die link klikt, kom je op de website en ben je al ingelogd zonder dat je dat zelf hebt gedaan. Nu kan de aanvaller dingen met jouw account doen, bijvoorbeeld gevoelige informatie inzien of veranderen.
Gelukkig zijn website-ontwikkelaars zich bewust van deze dreiging en nemen zij maatregelen om dit te voorkomen. Zo worden sessie-id’s bijvoorbeeld regelmatig veranderd, zodat een aanvaller niet langdurig gebruik kan maken van een gestolen sessie-id.