Session Fixation — Imposer un ID de session

Session Auth

Principe et exploitation

La Session Fixation survient quand une app accepte un ID de session fourni par l'utilisateur AVANT authentification, et continue de l'utiliser après.

# 1. Attaquant obtient un ID de session valide non authentifié
# 2. Envoie ce lien à la victime
http://target.com/login?PHPSESSID=ATTACKER_KNOWN_ID
# 3. Victime se connecte avec cet ID
# 4. Attaquant réutilise l ID -> accès authentifié !

Défenses

TOUJOURS régénérer l'ID de session après authentification réussie · Ne jamais accepter un ID de session depuis l'URL · Cookies Secure, HttpOnly, SameSite