Coders Conquer Security: Serie Share & Learn: Debilidades en la administración de sesiones
Navegas a un sitio web e inicias sesión. Como de costumbre, llenas tu carrito con los productos que te gustaría comprar. Luego, grita: tu mano se desliza y cierra la pestaña del navegador. Después de un pequeño pánico, vuelve a ingresar la URL del sitio en el navegador y presiona la tecla «Enter». Vuelve al sitio, inicia sesión y todos sus artículos siguen en el carrito. Uf.
¿Cómo supo el sitio quién eras sin volver a autenticarte? Te identificó porque estaba usando sesiones. Las sesiones son la clave para una buena experiencia de usuario cuando se utiliza la web. Sin embargo, la administración incorrecta de las sesiones puede generar brechas de seguridad que los atacantes pueden aprovechar.
Repasemos ahora qué significa la administración de sesiones, cómo puede perjudicarle una administración de sesiones deficiente y qué puede hacer para administrar las sesiones correctamente.
Comprender las debilidades de la administración de sesiones
Una sesión hace referencia a un valor almacenado en el servidor, específico de un único usuario de la aplicación. Esto es necesario por dos motivos: en primer lugar, HTTP es un protocolo sin estado. Cada solicitud es independiente y no tiene conocimiento de las solicitudes anteriores o posteriores. Una sesión ayuda al servidor a rastrear quién envió la solicitud. De lo contrario, tendrá que iniciar sesión cada vez que haga clic en un botón o un enlace.
El segundo motivo de las sesiones es la autorización del usuario. El identificador de sesión se puede usar para reconocer a un usuario específico con derechos específicos dentro del sistema. La aplicación sabrá quién es la persona y qué se le permite hacer.
Hay dos componentes en una sesión. Un almacén de datos del lado del servidor almacena un identificador de sesión y lo asigna a información sobre el usuario, como su identificador de usuario o la información del carrito. El mismo identificador de sesión se envía al navegador en una cookie. El navegador almacena las cookies en el sistema del usuario. El cliente envía la cookie con cada solicitud, lo que permite al servidor saber que esta solicitud proviene del mismo usuario. La mayoría de las aplicaciones utilizan sesiones para rastrear a los usuarios antes y después de la autenticación.
La administración adecuada de las sesiones es esencial para la seguridad de una aplicación. Un identificador de sesión válido tiene el mismo nivel de confianza que un nombre de usuario o contraseña, o incluso un token de autenticación de segundo factor.
Por qué es peligrosa una mala gestión de las sesiones
Una gestión deficiente de las sesiones puede provocar la apropiación total de la cuenta. Esto significa que los datos de los clientes pueden ser robados o que los productos pueden comprarse de forma fraudulenta. Los atacantes pueden obtener una ID de sesión válida de varias maneras.
UN ataque de fijación de sesión se produce cuando las sesiones no se modifican en momentos clave, como cuando un usuario inicia sesión en el sistema, y si los identificadores de sesión se pueden establecer mediante la URL. La configuración de los identificadores de sesión de esta manera se puede utilizar para mantener a los usuarios conectados en diferentes aplicaciones que utilizan la misma fuente de autenticación. En este caso, un atacante puede navegar hasta un sitio web y obtener un identificador de sesión. Luego, el atacante envía una URL a una víctima desprevenida por correo electrónico con el ID de sesión en la URL. La víctima hace clic en la URL del correo electrónico e inicia sesión en el sitio web. Si el ID de sesión no se cambia al iniciar sesión, el atacante ahora tiene un ID de sesión válido y autenticado. Esto permite la apropiación completa de la cuenta.
Otro ataque contra la mala gestión de las sesiones es un ataque de adivinación por fuerza bruta. Cuando los desarrolladores intentan crear sus propios sistemas de administración de sesiones, suelen utilizar identificadores de sesión que son bastante fáciles de adivinar. Pueden ser una secuencia (1, 2, 3) o un patrón predecible de algún tipo. El atacante simplemente sigue adivinando los ID de sesión hasta que descubra uno válido. Esto también lleva a la apropiación de una cuenta.
Las sesiones que no se invalidan automáticamente una vez transcurrido cierto tiempo pueden aprovecharse para atacar a los usuarios. Un éxito falsificación de solicitudes entre sitios el ataque depende de las sesiones que siguen siendo válidas después de que el usuario abandone el sitio. Supongamos que un atacante coloca un iframe o una imagen en un sitio visitado por el usuario. El atributo «src» (fuente) se establece en la URL del sitio vulnerable y realiza una acción en nombre del usuario. Por ejemplo, se podría crear una aplicación bancaria vulnerable para transferir dinero a la cuenta de un atacante sin el permiso del usuario.
La administración de las sesiones puede ser complicada y las debilidades pueden ser devastadoras. Sin embargo, es un problema bien conocido y se puede resolver.
Derrote la administración insegura de sesiones
La administración de sesiones es una pieza fundamental de cualquier aplicación web. Como resultado, muchos marcos de desarrollo web tienen una funcionalidad de administración de sesiones integrada. Estos sistemas han sido examinados minuciosamente por expertos para encontrar y eliminar problemas. Utilízalos.
Algunas propiedades comunes de buena gestión de sesiones incluyen:
Se generan identificadores de sesión aleatorios que los atacantes no pueden adivinar
Las sesiones se invalidan cuando un usuario cierra sesión
Las sesiones se invalidan automáticamente después de que haya transcurrido un cierto período de tiempo
Los ID de sesión se cambian después de que el usuario inicie sesión
Identificadores de sesión de al menos 128 bits de longitud para evitar ataques de fuerza bruta
Frameworks web como Spring, Núcleo de ASP.NET, Rieles, y Django tienen estas propiedades y, en este caso, deben usarse para cumplir con sus estándares de seguridad más altos.
En pocas palabras: no cree su propio sistema de administración de sesiones desde cero.
Una vez que se crean los ID de sesión, es necesario protegerlos. Configure el Indicadores Secure y HttpOnly a «verdaderas» en las cookies de sesión. Esto garantiza que su valor no se pueda recuperar con JavaScript y que el navegador solo envíe la cookie a través de HTTPS, lo que evita que los atacantes roben la sesión de alguien mientras está en tránsito.
Proteja sus sesiones
Consulta nuestros recursos de aprendizaje gratuitos para obtener más información sobre la administración segura de sesiones. Aprender a proteger las sesiones ayudará a evitar la apropiación de cuentas de usuario, el daño a la reputación y la pérdida de ingresos debido a las brechas de seguridad. Proteja sus sesiones y mantenga a sus usuarios seguros.
Las sesiones son clave para una buena experiencia de usuario al usar la web. Sin embargo, la administración incorrecta de las sesiones puede generar brechas de seguridad que los atacantes pueden aprovechar.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Navegas a un sitio web e inicias sesión. Como de costumbre, llenas tu carrito con los productos que te gustaría comprar. Luego, grita: tu mano se desliza y cierra la pestaña del navegador. Después de un pequeño pánico, vuelve a ingresar la URL del sitio en el navegador y presiona la tecla «Enter». Vuelve al sitio, inicia sesión y todos sus artículos siguen en el carrito. Uf.
¿Cómo supo el sitio quién eras sin volver a autenticarte? Te identificó porque estaba usando sesiones. Las sesiones son la clave para una buena experiencia de usuario cuando se utiliza la web. Sin embargo, la administración incorrecta de las sesiones puede generar brechas de seguridad que los atacantes pueden aprovechar.
Repasemos ahora qué significa la administración de sesiones, cómo puede perjudicarle una administración de sesiones deficiente y qué puede hacer para administrar las sesiones correctamente.
Comprender las debilidades de la administración de sesiones
Una sesión hace referencia a un valor almacenado en el servidor, específico de un único usuario de la aplicación. Esto es necesario por dos motivos: en primer lugar, HTTP es un protocolo sin estado. Cada solicitud es independiente y no tiene conocimiento de las solicitudes anteriores o posteriores. Una sesión ayuda al servidor a rastrear quién envió la solicitud. De lo contrario, tendrá que iniciar sesión cada vez que haga clic en un botón o un enlace.
El segundo motivo de las sesiones es la autorización del usuario. El identificador de sesión se puede usar para reconocer a un usuario específico con derechos específicos dentro del sistema. La aplicación sabrá quién es la persona y qué se le permite hacer.
Hay dos componentes en una sesión. Un almacén de datos del lado del servidor almacena un identificador de sesión y lo asigna a información sobre el usuario, como su identificador de usuario o la información del carrito. El mismo identificador de sesión se envía al navegador en una cookie. El navegador almacena las cookies en el sistema del usuario. El cliente envía la cookie con cada solicitud, lo que permite al servidor saber que esta solicitud proviene del mismo usuario. La mayoría de las aplicaciones utilizan sesiones para rastrear a los usuarios antes y después de la autenticación.
La administración adecuada de las sesiones es esencial para la seguridad de una aplicación. Un identificador de sesión válido tiene el mismo nivel de confianza que un nombre de usuario o contraseña, o incluso un token de autenticación de segundo factor.
Por qué es peligrosa una mala gestión de las sesiones
Una gestión deficiente de las sesiones puede provocar la apropiación total de la cuenta. Esto significa que los datos de los clientes pueden ser robados o que los productos pueden comprarse de forma fraudulenta. Los atacantes pueden obtener una ID de sesión válida de varias maneras.
UN ataque de fijación de sesión se produce cuando las sesiones no se modifican en momentos clave, como cuando un usuario inicia sesión en el sistema, y si los identificadores de sesión se pueden establecer mediante la URL. La configuración de los identificadores de sesión de esta manera se puede utilizar para mantener a los usuarios conectados en diferentes aplicaciones que utilizan la misma fuente de autenticación. En este caso, un atacante puede navegar hasta un sitio web y obtener un identificador de sesión. Luego, el atacante envía una URL a una víctima desprevenida por correo electrónico con el ID de sesión en la URL. La víctima hace clic en la URL del correo electrónico e inicia sesión en el sitio web. Si el ID de sesión no se cambia al iniciar sesión, el atacante ahora tiene un ID de sesión válido y autenticado. Esto permite la apropiación completa de la cuenta.
Otro ataque contra la mala gestión de las sesiones es un ataque de adivinación por fuerza bruta. Cuando los desarrolladores intentan crear sus propios sistemas de administración de sesiones, suelen utilizar identificadores de sesión que son bastante fáciles de adivinar. Pueden ser una secuencia (1, 2, 3) o un patrón predecible de algún tipo. El atacante simplemente sigue adivinando los ID de sesión hasta que descubra uno válido. Esto también lleva a la apropiación de una cuenta.
Las sesiones que no se invalidan automáticamente una vez transcurrido cierto tiempo pueden aprovecharse para atacar a los usuarios. Un éxito falsificación de solicitudes entre sitios el ataque depende de las sesiones que siguen siendo válidas después de que el usuario abandone el sitio. Supongamos que un atacante coloca un iframe o una imagen en un sitio visitado por el usuario. El atributo «src» (fuente) se establece en la URL del sitio vulnerable y realiza una acción en nombre del usuario. Por ejemplo, se podría crear una aplicación bancaria vulnerable para transferir dinero a la cuenta de un atacante sin el permiso del usuario.
La administración de las sesiones puede ser complicada y las debilidades pueden ser devastadoras. Sin embargo, es un problema bien conocido y se puede resolver.
Derrote la administración insegura de sesiones
La administración de sesiones es una pieza fundamental de cualquier aplicación web. Como resultado, muchos marcos de desarrollo web tienen una funcionalidad de administración de sesiones integrada. Estos sistemas han sido examinados minuciosamente por expertos para encontrar y eliminar problemas. Utilízalos.
Algunas propiedades comunes de buena gestión de sesiones incluyen:
Se generan identificadores de sesión aleatorios que los atacantes no pueden adivinar
Las sesiones se invalidan cuando un usuario cierra sesión
Las sesiones se invalidan automáticamente después de que haya transcurrido un cierto período de tiempo
Los ID de sesión se cambian después de que el usuario inicie sesión
Identificadores de sesión de al menos 128 bits de longitud para evitar ataques de fuerza bruta
Frameworks web como Spring, Núcleo de ASP.NET, Rieles, y Django tienen estas propiedades y, en este caso, deben usarse para cumplir con sus estándares de seguridad más altos.
En pocas palabras: no cree su propio sistema de administración de sesiones desde cero.
Una vez que se crean los ID de sesión, es necesario protegerlos. Configure el Indicadores Secure y HttpOnly a «verdaderas» en las cookies de sesión. Esto garantiza que su valor no se pueda recuperar con JavaScript y que el navegador solo envíe la cookie a través de HTTPS, lo que evita que los atacantes roben la sesión de alguien mientras está en tránsito.
Proteja sus sesiones
Consulta nuestros recursos de aprendizaje gratuitos para obtener más información sobre la administración segura de sesiones. Aprender a proteger las sesiones ayudará a evitar la apropiación de cuentas de usuario, el daño a la reputación y la pérdida de ingresos debido a las brechas de seguridad. Proteja sus sesiones y mantenga a sus usuarios seguros.
Navegas a un sitio web e inicias sesión. Como de costumbre, llenas tu carrito con los productos que te gustaría comprar. Luego, grita: tu mano se desliza y cierra la pestaña del navegador. Después de un pequeño pánico, vuelve a ingresar la URL del sitio en el navegador y presiona la tecla «Enter». Vuelve al sitio, inicia sesión y todos sus artículos siguen en el carrito. Uf.
¿Cómo supo el sitio quién eras sin volver a autenticarte? Te identificó porque estaba usando sesiones. Las sesiones son la clave para una buena experiencia de usuario cuando se utiliza la web. Sin embargo, la administración incorrecta de las sesiones puede generar brechas de seguridad que los atacantes pueden aprovechar.
Repasemos ahora qué significa la administración de sesiones, cómo puede perjudicarle una administración de sesiones deficiente y qué puede hacer para administrar las sesiones correctamente.
Comprender las debilidades de la administración de sesiones
Una sesión hace referencia a un valor almacenado en el servidor, específico de un único usuario de la aplicación. Esto es necesario por dos motivos: en primer lugar, HTTP es un protocolo sin estado. Cada solicitud es independiente y no tiene conocimiento de las solicitudes anteriores o posteriores. Una sesión ayuda al servidor a rastrear quién envió la solicitud. De lo contrario, tendrá que iniciar sesión cada vez que haga clic en un botón o un enlace.
El segundo motivo de las sesiones es la autorización del usuario. El identificador de sesión se puede usar para reconocer a un usuario específico con derechos específicos dentro del sistema. La aplicación sabrá quién es la persona y qué se le permite hacer.
Hay dos componentes en una sesión. Un almacén de datos del lado del servidor almacena un identificador de sesión y lo asigna a información sobre el usuario, como su identificador de usuario o la información del carrito. El mismo identificador de sesión se envía al navegador en una cookie. El navegador almacena las cookies en el sistema del usuario. El cliente envía la cookie con cada solicitud, lo que permite al servidor saber que esta solicitud proviene del mismo usuario. La mayoría de las aplicaciones utilizan sesiones para rastrear a los usuarios antes y después de la autenticación.
La administración adecuada de las sesiones es esencial para la seguridad de una aplicación. Un identificador de sesión válido tiene el mismo nivel de confianza que un nombre de usuario o contraseña, o incluso un token de autenticación de segundo factor.
Por qué es peligrosa una mala gestión de las sesiones
Una gestión deficiente de las sesiones puede provocar la apropiación total de la cuenta. Esto significa que los datos de los clientes pueden ser robados o que los productos pueden comprarse de forma fraudulenta. Los atacantes pueden obtener una ID de sesión válida de varias maneras.
UN ataque de fijación de sesión se produce cuando las sesiones no se modifican en momentos clave, como cuando un usuario inicia sesión en el sistema, y si los identificadores de sesión se pueden establecer mediante la URL. La configuración de los identificadores de sesión de esta manera se puede utilizar para mantener a los usuarios conectados en diferentes aplicaciones que utilizan la misma fuente de autenticación. En este caso, un atacante puede navegar hasta un sitio web y obtener un identificador de sesión. Luego, el atacante envía una URL a una víctima desprevenida por correo electrónico con el ID de sesión en la URL. La víctima hace clic en la URL del correo electrónico e inicia sesión en el sitio web. Si el ID de sesión no se cambia al iniciar sesión, el atacante ahora tiene un ID de sesión válido y autenticado. Esto permite la apropiación completa de la cuenta.
Otro ataque contra la mala gestión de las sesiones es un ataque de adivinación por fuerza bruta. Cuando los desarrolladores intentan crear sus propios sistemas de administración de sesiones, suelen utilizar identificadores de sesión que son bastante fáciles de adivinar. Pueden ser una secuencia (1, 2, 3) o un patrón predecible de algún tipo. El atacante simplemente sigue adivinando los ID de sesión hasta que descubra uno válido. Esto también lleva a la apropiación de una cuenta.
Las sesiones que no se invalidan automáticamente una vez transcurrido cierto tiempo pueden aprovecharse para atacar a los usuarios. Un éxito falsificación de solicitudes entre sitios el ataque depende de las sesiones que siguen siendo válidas después de que el usuario abandone el sitio. Supongamos que un atacante coloca un iframe o una imagen en un sitio visitado por el usuario. El atributo «src» (fuente) se establece en la URL del sitio vulnerable y realiza una acción en nombre del usuario. Por ejemplo, se podría crear una aplicación bancaria vulnerable para transferir dinero a la cuenta de un atacante sin el permiso del usuario.
La administración de las sesiones puede ser complicada y las debilidades pueden ser devastadoras. Sin embargo, es un problema bien conocido y se puede resolver.
Derrote la administración insegura de sesiones
La administración de sesiones es una pieza fundamental de cualquier aplicación web. Como resultado, muchos marcos de desarrollo web tienen una funcionalidad de administración de sesiones integrada. Estos sistemas han sido examinados minuciosamente por expertos para encontrar y eliminar problemas. Utilízalos.
Algunas propiedades comunes de buena gestión de sesiones incluyen:
Se generan identificadores de sesión aleatorios que los atacantes no pueden adivinar
Las sesiones se invalidan cuando un usuario cierra sesión
Las sesiones se invalidan automáticamente después de que haya transcurrido un cierto período de tiempo
Los ID de sesión se cambian después de que el usuario inicie sesión
Identificadores de sesión de al menos 128 bits de longitud para evitar ataques de fuerza bruta
Frameworks web como Spring, Núcleo de ASP.NET, Rieles, y Django tienen estas propiedades y, en este caso, deben usarse para cumplir con sus estándares de seguridad más altos.
En pocas palabras: no cree su propio sistema de administración de sesiones desde cero.
Una vez que se crean los ID de sesión, es necesario protegerlos. Configure el Indicadores Secure y HttpOnly a «verdaderas» en las cookies de sesión. Esto garantiza que su valor no se pueda recuperar con JavaScript y que el navegador solo envíe la cookie a través de HTTPS, lo que evita que los atacantes roben la sesión de alguien mientras está en tránsito.
Proteja sus sesiones
Consulta nuestros recursos de aprendizaje gratuitos para obtener más información sobre la administración segura de sesiones. Aprender a proteger las sesiones ayudará a evitar la apropiación de cuentas de usuario, el daño a la reputación y la pérdida de ingresos debido a las brechas de seguridad. Proteja sus sesiones y mantenga a sus usuarios seguros.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Navegas a un sitio web e inicias sesión. Como de costumbre, llenas tu carrito con los productos que te gustaría comprar. Luego, grita: tu mano se desliza y cierra la pestaña del navegador. Después de un pequeño pánico, vuelve a ingresar la URL del sitio en el navegador y presiona la tecla «Enter». Vuelve al sitio, inicia sesión y todos sus artículos siguen en el carrito. Uf.
¿Cómo supo el sitio quién eras sin volver a autenticarte? Te identificó porque estaba usando sesiones. Las sesiones son la clave para una buena experiencia de usuario cuando se utiliza la web. Sin embargo, la administración incorrecta de las sesiones puede generar brechas de seguridad que los atacantes pueden aprovechar.
Repasemos ahora qué significa la administración de sesiones, cómo puede perjudicarle una administración de sesiones deficiente y qué puede hacer para administrar las sesiones correctamente.
Comprender las debilidades de la administración de sesiones
Una sesión hace referencia a un valor almacenado en el servidor, específico de un único usuario de la aplicación. Esto es necesario por dos motivos: en primer lugar, HTTP es un protocolo sin estado. Cada solicitud es independiente y no tiene conocimiento de las solicitudes anteriores o posteriores. Una sesión ayuda al servidor a rastrear quién envió la solicitud. De lo contrario, tendrá que iniciar sesión cada vez que haga clic en un botón o un enlace.
El segundo motivo de las sesiones es la autorización del usuario. El identificador de sesión se puede usar para reconocer a un usuario específico con derechos específicos dentro del sistema. La aplicación sabrá quién es la persona y qué se le permite hacer.
Hay dos componentes en una sesión. Un almacén de datos del lado del servidor almacena un identificador de sesión y lo asigna a información sobre el usuario, como su identificador de usuario o la información del carrito. El mismo identificador de sesión se envía al navegador en una cookie. El navegador almacena las cookies en el sistema del usuario. El cliente envía la cookie con cada solicitud, lo que permite al servidor saber que esta solicitud proviene del mismo usuario. La mayoría de las aplicaciones utilizan sesiones para rastrear a los usuarios antes y después de la autenticación.
La administración adecuada de las sesiones es esencial para la seguridad de una aplicación. Un identificador de sesión válido tiene el mismo nivel de confianza que un nombre de usuario o contraseña, o incluso un token de autenticación de segundo factor.
Por qué es peligrosa una mala gestión de las sesiones
Una gestión deficiente de las sesiones puede provocar la apropiación total de la cuenta. Esto significa que los datos de los clientes pueden ser robados o que los productos pueden comprarse de forma fraudulenta. Los atacantes pueden obtener una ID de sesión válida de varias maneras.
UN ataque de fijación de sesión se produce cuando las sesiones no se modifican en momentos clave, como cuando un usuario inicia sesión en el sistema, y si los identificadores de sesión se pueden establecer mediante la URL. La configuración de los identificadores de sesión de esta manera se puede utilizar para mantener a los usuarios conectados en diferentes aplicaciones que utilizan la misma fuente de autenticación. En este caso, un atacante puede navegar hasta un sitio web y obtener un identificador de sesión. Luego, el atacante envía una URL a una víctima desprevenida por correo electrónico con el ID de sesión en la URL. La víctima hace clic en la URL del correo electrónico e inicia sesión en el sitio web. Si el ID de sesión no se cambia al iniciar sesión, el atacante ahora tiene un ID de sesión válido y autenticado. Esto permite la apropiación completa de la cuenta.
Otro ataque contra la mala gestión de las sesiones es un ataque de adivinación por fuerza bruta. Cuando los desarrolladores intentan crear sus propios sistemas de administración de sesiones, suelen utilizar identificadores de sesión que son bastante fáciles de adivinar. Pueden ser una secuencia (1, 2, 3) o un patrón predecible de algún tipo. El atacante simplemente sigue adivinando los ID de sesión hasta que descubra uno válido. Esto también lleva a la apropiación de una cuenta.
Las sesiones que no se invalidan automáticamente una vez transcurrido cierto tiempo pueden aprovecharse para atacar a los usuarios. Un éxito falsificación de solicitudes entre sitios el ataque depende de las sesiones que siguen siendo válidas después de que el usuario abandone el sitio. Supongamos que un atacante coloca un iframe o una imagen en un sitio visitado por el usuario. El atributo «src» (fuente) se establece en la URL del sitio vulnerable y realiza una acción en nombre del usuario. Por ejemplo, se podría crear una aplicación bancaria vulnerable para transferir dinero a la cuenta de un atacante sin el permiso del usuario.
La administración de las sesiones puede ser complicada y las debilidades pueden ser devastadoras. Sin embargo, es un problema bien conocido y se puede resolver.
Derrote la administración insegura de sesiones
La administración de sesiones es una pieza fundamental de cualquier aplicación web. Como resultado, muchos marcos de desarrollo web tienen una funcionalidad de administración de sesiones integrada. Estos sistemas han sido examinados minuciosamente por expertos para encontrar y eliminar problemas. Utilízalos.
Algunas propiedades comunes de buena gestión de sesiones incluyen:
Se generan identificadores de sesión aleatorios que los atacantes no pueden adivinar
Las sesiones se invalidan cuando un usuario cierra sesión
Las sesiones se invalidan automáticamente después de que haya transcurrido un cierto período de tiempo
Los ID de sesión se cambian después de que el usuario inicie sesión
Identificadores de sesión de al menos 128 bits de longitud para evitar ataques de fuerza bruta
Frameworks web como Spring, Núcleo de ASP.NET, Rieles, y Django tienen estas propiedades y, en este caso, deben usarse para cumplir con sus estándares de seguridad más altos.
En pocas palabras: no cree su propio sistema de administración de sesiones desde cero.
Una vez que se crean los ID de sesión, es necesario protegerlos. Configure el Indicadores Secure y HttpOnly a «verdaderas» en las cookies de sesión. Esto garantiza que su valor no se pueda recuperar con JavaScript y que el navegador solo envíe la cookie a través de HTTPS, lo que evita que los atacantes roben la sesión de alguien mientras está en tránsito.
Proteja sus sesiones
Consulta nuestros recursos de aprendizaje gratuitos para obtener más información sobre la administración segura de sesiones. Aprender a proteger las sesiones ayudará a evitar la apropiación de cuentas de usuario, el daño a la reputación y la pérdida de ingresos debido a las brechas de seguridad. Proteja sus sesiones y mantenga a sus usuarios seguros.
Table des matières
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
