Securam Consulting Logo
Kontakt

Das große IT-Security-Glossar

Definition:

Session Fixation

Was ist Session Fixation?

Session Fixation ist ein Angriff, bei dem ein Angreifer dem Opfer eine bereits festgelegte Sitzungs-ID (Session-ID) zuweist – z. B. durch einen präparierten Link oder manipulierten Cookie. Ziel ist es, dass das Opfer sich unter dieser bekannten Session-ID authentifiziert, sodass der Angreifer im Anschluss Zugriff auf die authentifizierte Sitzung erhält.

Im Gegensatz zu Session Hijacking, bei dem eine Session-ID abgefangen wird, wird die Session-ID bei Session Fixation vom Angreifer selbst vorgegeben.

Wichtige Session-Fixation-Ressourcen

  • Session-ID-Regeneration (Session Renewal)
    → Neue ID nach erfolgreicher Authentifizierung verhindert Übernahme der vordefinierten Sitzung.

  • Sichere Cookie-Attribute (Secure, HttpOnly, SameSite)
    → Schützen Cookies vor Auslesen, Cross-Site Access und unsicheren Transportkanälen.

  • Idle Timeout & Session Expiration
    → Begrenzen die Dauer der Gültigkeit inaktiver Sitzungen.

  • User-Agent & IP-Bindung
    → Erhöhen die Sicherheit, indem Sitzungen an bestimmte Geräte oder Verbindungsmerkmale gebunden werden.

  • Framework-Konfiguration
    → Viele moderne Webframeworks bieten Schutzmechanismen gegen Session Fixation „by default“.

Anwendung in der Praxis

  • Login-Prozess-Härtung: Session-ID wird nach erfolgreicher Anmeldung zwingend erneuert.

  • Manipulationsprävention: Links enthalten keine persistente Session-ID.

  • Cookie-Konfiguration: Nur verschlüsselte Verbindungen, kein clientseitiges Auslesen, feste Herkunft.

  • Verhaltensbasierte Kontrolle: Auffällige Sitzungsnutzung (z. B. Ortswechsel, UA-Wechsel) triggert Re-Login.

  • Auditierung: Session-Verläufe werden zur Anomalieerkennung protokolliert.

Verwandte Begriffe

Beispiel aus der Praxis

Ein Angreifer schickt dem Opfer einen Link zu https://example.com/login?session=ABC123. Nach dem Klick wird dieselbe Session-ID durch das Login-Formular übernommen und das Opfer authentifiziert sich erfolgreich. Da der Angreifer die ID bereits kennt, kann er denselben Session-Wert nutzen, um die Sitzung zu übernehmen. Als Gegenmaßnahme implementiert das Unternehmen ein Session-Renewal nach erfolgreichem Login und ergänzt HttpOnly- und SameSite-Attribute in der Cookie-Konfiguration.

zum Glossar