Categories: All - gestión - predicción - fijación - configuración

by José Luis Castillo Peña 3 years ago

212

GESTIÓN DE SESIONES WEB

La gestión de sesiones web es crucial para mantener la seguridad y la integridad de las aplicaciones en línea. Se deben implementar diversas medidas para proteger los identificadores de sesión, como la aleatorización y la longitud adecuada, así como la activación de la opción httponly en el servidor web y la deshabilitación del método TRACE.

GESTIÓN DE SESIONES WEB

CONFIGURACIÓN SEGURA EN FRAMEWORKS WEB

ASP .NET

Session.Abandon

ASP.NET_SessionId

DateTime

requireSSL

Request.UserHostAddress

sessionState

httpOnlyCookies

web.config

SessionIDManager

JAVA

JSESSIONID

getCreationTime

session-timeout

cookie-config

security-constraint

RemoteAddr

tracking-mode

Contenedor Servlets

http-only

web.xml

PHP

CONFIGURACIÓN SEGURA
MEDIDAS CONTRA LOS ERRORES EN EL CIERRE DE SESIÓN

Invalidar y no reutilizar los identificadores de sesión

session.destroy

session.cookie_path

ssession.cookie_domain

Establecer un tiempo máximo de validez de sesión

session.cookie_lifetime

Establecer timeout de sesión

session.gc_maxlifetime

MEDIDAS CONTRA EAVESDROPPING

Utilizar la opción secure en las cookies de sesión

session.cookie_secure

Utilizar el protocolo HTTPS

MEDIDAS CONTRA LA FIJACIÓN DE SESIÓN

$_SERVER['REMOTE_ADDR']

session.use_only_cookies

Renovar el identificador al autenticarse el usuario o asignarlo después de la autenticación

sesion_regenerate_id

MEDIDAS CONTRA LA CAPTURA XSS

Las cookies sólo accesibles a través de HTTP

session.cookie_httponly

MEDIDAS CONTRA LA PREDICCIÓN DE SESIÓN

Aletorización y longitud suficiente del identificador de sesión

session.entropy_file

TIPOS DE ATAQUES

XSS

ERRORES EN CIERRE DE SESIÓN

INTERCEPTAR COMUNICACIÓN

GESTIÓN DE SESIONES WEB

EAVESDROPPING (INTERCEPTANDO LA COMUNICACIÓN)

Asociar el identificador a información del usuario única como su dirección IP
Activar las secure cookies que evita el navegador pueda enviar la cookie por HTTP
Utilizar HTTPS

CAPTURA DEL IDENTIFICADOR A TRAVÉS DE ATAQUES XSS

Deshabilitar el método TRACE
Activar la opción httponly en servidor web

ERRORES EN EL CIERRE DE SESIÓN

No reutilizar los identificadores de sesión
Invalidar los identificadores de sesión
Utilizar cookies no persistentes
Establecer un tiempo máximo de validez
Establecer un timeout de sesión

FIJACIÓN DE SESIÓN

Asociar el identificador a información del usuario única como su IP
Permitir únicamente el identificador en cookies
Renovar el identificador o asignarlo únicamente después de la autenticación

PREDICCIÓN DE SESIÓN

SOLUCIONES
Aleatorización y longitud suficiente del identificador de sesión