Session Fixation Attack
“Session Fixation Attack” dediğimiz saldırı türü, bir saldırganın hedefe erişmek için kullanıcı oturumunu ele geçirmesidir. Bu saldırgan, kullanıcının tarayıcısına bir kimlik belirleyici gönderir ve tarayıcı o kimlikle oturum açar. Saldırgan daha sonra o kimliği kullanarak aynı oturumu açar ve kullanıcının isteklerini izleyebilir ya da yönlendirebilir.
Bu saldırı, birçok web sitesinde kullanılan “cerez” adlı küçük veri dosyalarıyla gerçekleştirilir. Saldırgan, kullanıcıya bir bağlantı gönderir ve içinde bir kimlik belirleyici olan bir çerez bulundurur. Kullanıcı bağlantıyı tıkladığında, saldırganın bu kimlik belirleyiciyi kullanarak oturum açabilmesi için kendi tarayıcısında yeni bir oturum açar.
Bu saldırıyı önlemek için, web siteleri çerezleri doğru şekilde güncellemeli ve kullanıcıların oturum açtıkları zaman oturum kimlik belirleyicisini değiştirmelidir. Ayrıca kullanıcıların güncel olmayan oturumları kapatmaları ve web sitelerinde güçlü şifreler kullanmaları da faydalı olabilir.