by Raúl Méndez Jiménez 3 years ago
567
More like this
The main purpose of timelines is to display a series of actions within a particular time interval. Timelines can cover a bigger time period, they should not be very detailed. Howbeit, it is possible to add images, data, or figures.
No reutilizar los identificadores de sesión
Invalidar los identificadores de sesión
Subtopic
Activar la opción secure en cookies
Wireshark
Asociar identificador con información de usuario única
Permitir únicamente identificador de cookies
Renovar el identificador
El atacante dispone de un identificador de sesión asociado a la víctima
La víctima realiza la petición HTTP que le indicó el atacante e inicia sesión en el portal con el identificador de sesión
El atacante elabora una petición HTTP que incluye el identificador de sesión y se lo hace llegar a la víctima
El atacante realiza una petición HTTP para obtener identificador
Activar httponly
Hash 16/20 bytes creado a partir de cadena de texto compuesta por:
session.entropy_length
Datos aleatorios
Información del tiempo de ejecución
Dirección remota de cliente HTTP
ejemplo de código en la web de OWASP
método setMaxAge.
JSESSIONID, es no persistente
función getCreationTime
session-timeout del fichero web.xm
método RemoteAddr
tracking-mode de web.xml
session.invalidate(); session=request.getSession(true);
configurable en el servidor HTTP
http-only de web.xml
secure del apartado cookie-config de web.xml
security-constraint del archivo web.xml
Almacenar y recuperar la información de la sesión
SessionIDManager
Request.UserHostAddress
opción cookieless de sessionState
ASP.NET_SessionId
httpOnlyCookies
requireSSL
método Session.Abandon
cookie de sesión ASP.NET_SessionId es no persistente
función DateTime
timeout de sessionState.
Se puede establecer y leer la información de sesión
Aspectos propios
Restringir el acceso al directorio session.save_path
Errores de cierre de sesión
Invalidar y no reutilizar los identificadores de sesión
session.destroy
Utilizar cookies no persistentes
Establecer un tiempo máximo de validez de sesión
session.cookie_lifetime
Establecer un timeout de sesión
session.gc_maxlifetime,
Eavesdropping
Utilizar la opción secure en las cookies
session.cookie_secure
Utilizar el protocolo HTTPS
Fijación de sesión
Asociar el identificador a información del usuario única
$_SERVER['REMOTE_ADDR']
Permitir únicamente identificador en cookies
session.use_only_cookies
Renovar el identificador al autenticarse o asignarlo despúes de la autenticación
session_regenerate_id
Captura de identificador via XSS
Deshabilitar TRACE
Cookies solo accesibles desde HTTP
Activar session.cookie_httponly
Predicción de sesión
Aleatorización y longitud suficiente del identificador de sesión
session.entropy_file y session.entropy_length
«Serializa» el contenido de $_SESSION y lo almacena
Procesa el resto de la página PHP
Añade la cookie de sesión
Procesa este archivo y guarda en el array $_SESSION las variables
Busca un archivo en el directorio session.save_path cuyo nombre contiene el identificador
Lee el identificador de sesión
Add date here.
Add the event here.
You can add a few highlights here or if you want to add detailed description you can use the Notes feature.