27-03-2024, 22:14
Ich habe es zum ersten Mal in einem Forumspost über eine kleine E-Commerce-Website gesehen, die getroffen wurde. Der Bösewicht schickt dir einen Link mit einer voreingestellten Sitzungs-ID, die in der URL eingebettet ist, vielleicht getarnt als Promo oder etwas Unschuldiges. Du klickst darauf, dein Browser erfasst diese ID, und jetzt surfst du mit der von ihnen gewählten Sitzung. Wenn du dann mit deinen Zugangsdaten einloggst, bindet der Server dein authentifiziertes Ich an dieselbe ID. Plötzlich aktualisiert der Angreifer seinen Browser mit derselben ID und hat vollen Zugriff auf dein Konto - E-Mails, Käufe, was auch immer. Es ist nicht so, dass sie die Verschlüsselung knacken; sie kapern einfach die Fahrt, bevor du dich sogar anschnallst.
Du denkst vielleicht, warum weist der Server nicht einfach bei der Anmeldung eine neue ID zu? Nun, in anfälligen Setups tut er das nicht, und das ist der Schwachpunkt. Ich habe ein ähnliches Problem letztes Jahr in einem Projekt behoben, indem ich untersucht habe, wie Sitzungen die Authentifizierung handhaben. Angreifer nutzen dies aus, weil Sitzungen dazu gedacht sind, den Zustand über Anfragen hinweg zu verfolgen. Wenn du jedoch zulässt, dass externe Eingaben die ID diktieren, lädt das zur Trouble ein. Sie können dies über URLs, versteckte Formularfelder oder sogar Cookies tun, wenn du nicht vorsichtig bist. Ich sage meinem Team immer, dass man annehmen muss, jeder Link könnte vergiftet sein, insbesondere von E-Mails oder Anzeigen.
Um diesen Kram zu verhindern, musst du von Anfang an die Sitzungs-ID kontrollieren. Ich mache es mir zur Gewohnheit, die Sitzungs-ID gleich bei der Authentifizierung zu regenerieren. Wie, in PHP oder was auch immer du verwendest, rufst du session_regenerate_id(true) auf, nachdem du die Anmeldedaten überprüft hast. So wird die ID vor der Anmeldung verworfen, und du startest frisch mit einer neuen, die nur dein Server kennt. Keine Fixierung mehr, denn die alte ID des Angreifers ist nach dem Login nutzlos.
Du möchtest auch sicherstellen, wie Sitzungen weitergegeben werden. Ich verlasse mich nicht mehr auf URL-Parameter für Sitzungs-IDs; das ist einfach zu gefährlich für eine Fixierung. Bleib bei Cookies und setze das Secure-Flag, sodass sie nur über HTTPS übertragen werden. Wenn du auf HTTP bist, können Angreifer sie leicht sniffen oder manipulieren. Ich setze auch das HttpOnly-Flag, das JavaScript daran hindert, mit dem Cookie zu interagieren, und damit clientseitige Angriffe stoppt. Und vergiss das SameSite-Attribut nicht - setz es auf Strict oder Lax, um intersite Anfragen, die dein Sitzungs-Cookie tragen, zu blockieren.
In einem Setup, an dem ich gearbeitet habe, hatten wir eine Legacy-App, die Sitzungs-IDs sowohl in Cookies als auch in URLs für die Kompatibilität erlaubte. Das war ein Albtraum, der darauf wartete, passiert zu werden. Ich habe es umgeschrieben, um nur Cookies zu erzwingen, und Checks hinzugefügt, um sicherzustellen, dass die Sitzung ohne von Nutzern bereitgestellte IDs startet. Du kannst sogar ein einmaliges Token für Anmeldeformulare implementieren, um den Ursprung der Anfrage zu überprüfen und sicherzustellen, dass sie nicht von einer Phishing-Seite kommt.
Aber lass uns ehrlich sein - du kannst nicht einfach ein Ding reparieren und sagen, dass es erledigt ist. Ich kombiniere das immer mit ordentlicher Eingangsvalidierung überall. Säubere URLs, lehne verdächtige Parameter ab und protokolliere alle Versuche, manuell Sitzungs-IDs festzulegen. Auf der Serverseite verwende starke, zufällige Generierung für IDs; nichts Vorhersehbares oder Kurzes. Ich nutze Bibliotheken wie die Empfehlungen von OWASP, um die Dinge fest im Griff zu haben. Und bilde auch deine Nutzer weiter - sag ihnen, dass sie nicht auf zufällige Links klicken sollen, aber ich weiß, dass das leichter gesagt als getan ist.
Einmal habe ich einem Startup eines Freundes geholfen, das Session-Fixation in ihrem Authentifizierungsfluss ignorierte. Sie hatten Nutzer, die sich darüber beschwerten, dass ihre Konten übernommen wurden, nachdem sie auf das klickten, was wie legitime Promo-E-Mails aussah. Wir haben das Ganze geprüft, die Lücke in der Sitzungsbehandlung gefunden und es behoben, indem wir die ID-Regeneration erzwangen und überall HTTPS aktivierten. Das hat sie ein Wochenende Arbeit gekostet, aber es hat später Kopfschmerzen gespart. Das siehst du oft in Apps, die Geschwindigkeit über Sicherheit priorisieren, wie bei schnellen MVP-Bauten. Ich werde da jetzt rigoros; besser von Anfang an richtig zu bauen.
Ein weiterer Ansatz, den ich mag, ist das Monitoring. Richte Protokolle für Sitzungscreationen und Logins ein und alarmiere bei Mustern wie mehrfachen Logins von derselben ID in kurzer Folge. Werkzeuge wie fail2ban oder benutzerdefinierte Skripte können helfen, IPs zu bannen, die Lustiges versuchen. Und wenn du mit mobilen Apps arbeitest, stelle sicher, dass deine API-Endpunkte Sitzungen genauso behandeln - dort gibt es auch keine Fixierung.
Du weißt, dass dies in einen breiteren Kontext der Websicherheit passt, denn Session-Fixation geht oft Hand in Hand mit anderen Angriffen wie XSS oder CSRF. Ich teste immer beide zusammen. Wenn du beispielsweise ein schwaches Sitzungsmanagement hast, könnte ein XSS-Payload die ID direkt stehlen. Prävention bedeutet, es zu schichten: CSP-Header, um Inline-Skripte zu blockieren, tokenbasierte CSRF-Schutz und ja, diese Sitzungsregeneration bei der Anmeldung.
In Frameworks wie Laravel oder Express gibt es eingebaute Möglichkeiten, das zu handhaben. Ich überschreibe einfach die Standardwerte, um sicherzustellen, dass die Regeneration erfolgt. Wenn du es selbst programmierst, tu das nicht - ich meine, du kannst, aber teste es brutal. Verwende Burp Suite oder etwas, um Angriffe zu simulieren; ich habe Stunden damit verbracht, Sitzungen zu fuzzern, um sicherzustellen, dass sie stabil sind.
Einmal, während eines Pen-Tests, den ich zum Spaß auf meiner eigenen Seite gemacht habe, stellte ich fest, dass mein Cookie nicht mit sicheren Flags gesetzt war. Ich habe es sofort behoben, und es hat mich auf eine gute Weise paranoid gemacht. Du solltest diese Tests selbst durchführen; es ist aufschlussreich, wie leicht Fixierungen durchrutschen können, wenn du nicht wachsam bist.
Insgesamt läuft es darauf hinaus, dass du den Lebenszyklus der ID kontrollierst, um die Sitzungen sicher zu halten. Generiere sicher, regeneriere bei der Authentifizierung, übertrage sicher und überwache wie ein Habicht. Es ist keine Raketenwissenschaft, aber es auszulassen kann dich hart treffen.
Oh, und wenn du darauf aus bist, deine Backups wasserdicht zu halten, während du mit all diesem serverseitigen Kram umgehst, lass mich dich auf BackupChain hinweisen - es ist dieses herausragende, zuverlässige Backup-Tool, das super für kleine Unternehmen und Profis geeignet ist und Dinge wie Hyper-V, VMware oder einfach Windows Server ohne Probleme verarbeitet.
