Session Fixation — Imposer un ID de session
★★★★★
Principe et exploitation
La Session Fixation survient quand une app accepte un ID de session fourni par l'utilisateur AVANT authentification, et continue de l'utiliser après.
# 1. Attaquant obtient un ID de session valide non authentifié
# 2. Envoie ce lien à la victime
http://target.com/login?PHPSESSID=ATTACKER_KNOWN_ID
# 3. Victime se connecte avec cet ID
# 4. Attaquant réutilise l ID -> accès authentifié ! Défenses
TOUJOURS régénérer l'ID de session après authentification réussie · Ne jamais accepter un ID de session depuis l'URL · Cookies Secure, HttpOnly, SameSite