Proteja-se: Evitando Session Fixation Attack no JBoss EAP 6

Postado em Atualizado em

Hackers-Attack

Olá amigos,

Session Fixation Attack pode ser feito através de um link enviado pelo atacante para a vítima com um ID de Sessão ( no nosso caso o Jsessionid ) incluso, essa técnica é conhecida como client-side scripting (existem muitas outras). Então a vitima se autentica e logo após isso o atacante pode ter acesso total a conta  já que para a aplicação Web o atacante é o mesmo usuário que está autenticado pois o ID de Sessão é válido.

Fazendo uma rápida pesquisa no google encontrei algumas pessoas se aproveitando desse tipo de vulnerabilidade aplicando outras técnicas:

A solução para evitar todo esse problema é bem simples: basta que o  ID de Sessão seja alterado após a autenticação!

No JBoss EAP 6 abaixo de </extensions> (standalone.xml, etc ou domain.xml) adicione a seguinte propriedade:

<system-properties>
      <property name="org.apache.catalina.authenticator.AuthenticatorBase.CHANGE_SESSIONID_ON_AUTH" value="true"/>
</system-properties>

Isso vai garantir com que um novo ID de Sessão seja alterado após a autenticação do usuário!

Quem curtiu dá joinha ai!!!!!! haha brincadeirinha😛

Se você nao entendeu nada do que eu disse ( eu escrevo meio esquisito ) consulte os links abaixo:

Se eu falei alguma bobagem ou deixei de falar alguma coisa, por favor deixe nos comentários que verifico na mesma hora!

Espero que tenha ajudado!!!

Aquele Abraço!

4 comentários em “Proteja-se: Evitando Session Fixation Attack no JBoss EAP 6

    victor neves disse:
    8 de março de 2013 às 8:46

    dooooido! =]
    vou pesquisar mais!

    Ataxexe disse:
    8 de março de 2013 às 12:58

    Cacetada! Não sabia dessa… excelente dica!!!

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s