Gestión de la sesión

Asegurar que los identificadores de sesión en los marcos de aplicación sólo puedan ser obtenidos a través del valor de la cookie.

Esto puede requerir cambiar el comportamiento habitual del marco de aplicaciones o sobrescribir el manejador de sesiones.

Para evitar que se produzcan ataques de fijación de sesión es necesario invalidar el identificador de sesión existente antes de autenticar a un nuevo usuario.

Si se le asigna el mismo identificador de otra sesión conocida, un atacante podría usar esta sesión para acceder a la cuenta del usuario que se ha logado anteriormente.

Utilizar credenciales de página a la hora de ejecutar transacciones críticas, para dificultar los ataques de CSRF.

Consiste en trabajar, además de con la credencial de sesión, con una credencial de página que se crea por el servidor de forma aleatoria cuando ésta se carga y deja de ser válida cuando se envía, de manera que la credencial está disponible por un tiempo limitado (inferior al de la credencial de sesión), haciendo más difícil falsificar las credenciales a un posible usuario mal intencionado para efectuar un ataque.

Las cookies son fácilmente modificables por los usuarios. Es recomendable no almacenar información crítica en cookies ya que pueden ser falsificadas usando programas automatizados.

Es preferible utilizar sesiones para almacenar los datos importantes. Generalmente, se almacenará un ID de sesión en la cookie del usuario. Los datos asociados residen en el servidor (archivos o base de datos).

No guarde credenciales de sesión en una URL u otro método trivial de almacenaje

En la medida de lo posible validar que los datos de sesión, si están almacenados en disco, no sean accesibles por otros usuarios, otras aplicaciones desplegadas en el mismo servidor o códigos maliciosos.

Confirmar que el servidor de aplicaciones esté configurado para usar áreas de ficheros temporales por cliente / aplicación. Si esto no es posible, los datos de sesión deben ser cifrados o contener sólo información no sensible.

Es necesario que todos los objetos que se almacenen en la sesión sean serializables, ya que, de lo contrario, no podrán ser codificados ni transportados por la red.

La serialización consiste en un proceso de codificación de un objeto en un medio de almacenamiento (como puede ser un archivo, o un buffer de memoria) con el fin de transmitirlo a través de una conexión en red como una serie de bytes o en un formato humanamente más legible como XML o JSON, entre otros.

Hay que comprobar que el usuario conectado tenga la autorización necesaria para acceder, actualizar o eliminar información antes de ejecutar la acción, deteniendo la misma si la comprobación resultase negativa.

Las variables de sesión deben ser validadas para asegurar que tienen el formato adecuado, no contienen caracteres inesperados, y que son válidas en la tabla de sesiones activas

Debemos regenerar las credenciales antes de cada transacción significativa para evitar el secuestro de la sesión o, en caso de que la sesión haya sido secuestrada, evitar que dicho ataque pueda ser efectivo ante una transacción.

Debemos regenerar las credenciales después de cierta cantidad de transacciones para acortar la ventana de oportunidades para ataques

La regeneración de las credenciales al cabo de un tiempo impide que, en caso de un ataque de fuerza bruta o un secuestro de credenciales, puedan acceder a la aplicación por tiempo ilimitado ya que dichas credenciales dejarán de ser válidas después de un tiempo determinado.

Asegúrese que cada página protegida o acción controle el estado de autenticación y autorización antes de realizar cualquier cantidad significativa de trabajo, incluyendo la generación de contenido.

Asegúrese que todas las páginas desprotegidas utilicen la menor cantidad de recursos para prevenir un ataque de negación de servicio, y no facilite la fuga de información de la parte protegida de la aplicación.