Session Reuse

• Categoría:

• AuthenticationSessionManagement

• Referencia:

• OWASP-AUTHSM-003

Descripcion:

El objetivo de esta prueba es verificar si los tokens de sesión se reutilizan cuando el usuario pasa de un recurso protegido por SSL (https) a un recurso no protegido (http). La reutilización de tokens en este escenario puede exponer datos sensibles al ser transmitidos sin cifrado, lo que aumenta el riesgo de intercepción y uso indebido.

Herramientas recomendadas:

• Burp Suite
• OWASP ZAP (Zed Attack Proxy)
• Wireshark

Recomendaciones para realizar la prueba:

Inicia sesión en una aplicación web que utiliza HTTPS para recursos sensibles. Observa el token de sesión (por ejemplo, a través de las cookies o cabeceras HTTP). Navega hacia un recurso en la misma aplicación que esté configurado para usar HTTP (no cifrado). Comprueba si el token de sesión sigue siendo el mismo al pasar al recurso no protegido. Esto se puede verificar utilizando herramientas como Burp Suite u OWASP ZAP. Captura el tráfico de red durante esta transición con herramientas como Wireshark para confirmar si el token de sesión se transmite sin cifrado.

Implementar un cambio de token de sesión al pasar de HTTPS a HTTP, invalidando el token anterior. Configurar el sitio para que funcione únicamente con HTTPS. Esto elimina la posibilidad de que existan recursos accesibles mediante HTTP. Usar encabezados de seguridad como Strict-Transport-Security (HSTS) para forzar conexiones seguras.