Session Fixation Attack
Session Fixation Attack (auf Deutsch: Sitzungs-Fixierungsangriff) ist eine Art von Angriff, bei dem ein Angreifer versucht, eine Schwachstelle im Verfahren der Erstellung von Web-Sitzungen auszunutzen.
Wenn jemand eine Website besucht und sich anmeldet, wird eine Sitzung erstellt. Das ist eine Verbindung zwischen dem Webserver und dem Computer des Benutzers. Die Sitzung gibt dem Benutzer Zugriff auf alle Funktionen der Website, für die er sich angemeldet hat. Die meisten Websites verwenden beim Erstellen von Sitzungen eine Session-ID. Das ist ein eindeutiger Code, der dem Browser des Benutzers zugewiesen wird und die Sitzung als gültig kennzeichnet.
In einem Session-Fixierungsangriff versucht ein Angreifer, diese Session-ID zu kennen oder zu ändern, bevor der Benutzer sich anmeldet. Das kann er durch verschiedene Methoden erreichen, wie zum Beispiel durch Versenden einer präparierten URL, die bereits eine Session-ID enthält. Wenn der Benutzer dann auf diesen Link klickt und sich anmeldet, wird die Session-ID des Angreifers an den Browser des Benutzers übertragen. Der Angreifer kann sich dann mit der gleichen Session-ID auch anmelden. Dadurch kann er vollen Zugriff auf die Sitzung des Benutzers erhalten.
Das kann schwere Folgen haben. Der Angreifer kann zum Beispiel auf persönliche Informationen zugreifen, unerwünschte Aktionen ausführen oder sogar Geld stehlen. Um einem solchen Angriff vorzubeugen, sollten Benutzer immer sicherstellen, dass sie auf die offizielle Website gehen und sich nicht über präparierten Links anmelden. Außerdem sollten Websites Zufallszahlen als Session-IDs verwenden und sie nach jedem Login ändern. Dadurch wird es schwieriger für Angreifer, Sitzungs-Fixierungsangriffe durchzuführen.