Session Fixation

Ein Angriff, bei dem ein gültiges Session-ID dem Opfer zugewiesen wird, damit der Angreifer diese Sitzung übernehmen kann. Bei Session Fixation lenkt der Angreifer das Opfer dazu, eine vorab festgelegte Session-ID zu verwenden—beispielsweise durch manipulierte Links oder Cookies. Nach der erfolgreichen Authentifizierung des Opfers nutzt der Angreifer dieselbe Session-ID, um Zugriff auf die authentifizierte Anwendung zu erlangen. Abhilfe schafft das Regenerieren der Session-ID nach der Authentifizierung (Session-Renewal) und das Setzen sicherer Cookie-Attribute (Secure, HttpOnly, SameSite). Zudem sollte die Sitzung nach Inaktivität zeitnah ablaufen (Idle Timeout) und eine IP- oder User-Agent-Bindung aktiviert sein, um unautorisierte Übernahmen zu erschweren.