Protección frente a secuestros de sesión en Joomla

Detalles

Publicado el Jueves, 08 Marzo 2012 13:00

Escrito por Texpaok

En el artículo anterior os hablamos de la próxima funcionalidad que incorporarán Securitycheck y Securitycheck Pro para impedir las sesiones simultáneas de los usuarios en nuestro sitio web.

En dicho artículo os explicábamos que esa funcionalidad era válida para protegernos frente a robo de sesión de cookies, pero no frente a secuestros de sesión.

Os pongo un ejemplo de una caso de secuestro de sesión. Supongamos que iniciamos sesión en un ordenador con un código malicioso que captura nuestro token de inicio de sesión (establecido en la cookie) y lo manda a un servidor controlado por unas personas muy malas

Usando este token mientras estamos logados, un usuario ilegítimo conseguirá acceso a nuestro sitio como si fuésemos nosotros:

En este caso no se crea ninguna sesión nueva, sino que se aprovecha una sesión existente, por lo que estos casos son muy difíciles de detectar. Si somos los administradores del sitio, el atacante obtendrá acceso total al mismo...

Leer más:Protección frente a secuestros de sesión en Joomla

Protegiendo la sesión de usuario en Joomla

Detalles

Publicado el Viernes, 02 Marzo 2012 14:00

Escrito por Texpaok

Aunque Joomla ha mejorado mucho la seguridad en las últimas versiones, aún existen aspectos que, en mi opinión, se pueden mejorar.

Uno de ellos es la posibilidad de que un usuario pueda iniciar múltiples sesiones en Joomla. No encuentro ninguna razón para permitir este comportamiento; no supone ninguna ventaja para el usuario y sí puede ser la puerta a potenciales ataques.

Lo más común es que un usuario que abandone una sesión inicie una nueva, ya sea cerrando el navegador o yendo a un ordenador distinto. Si un usuario tiene dos sesiones simultáneas, esto suele indicar que se ha comprometido la seguridad: o bien el usuario "ha dejado" sus credenciales en algún sitio, o un atacante ha obtenido sus credenciales por otros métodos. En ambos casos, no es deseable permitir sesiones concurrentes porque:

• permite a los usuarios realizar malas prácticas sin ninguna molestia.
• permite que un atacante use credenciales robadas sin ningún riesgo de detección.

Si por alguna razón desconocida por mí Joomla desea conservar este comportamiento, al menos debería permitir al usuario chequear cuántas sesiones tiene activas en cualquier momento, mostrar la actividad de la cuenta, etc., como hace cuando entramos en la parte administrativa del sitio.

Os pongo un ejemplo de todo lo anterior; tenemos un sitio web con un usuario llamado "kk". Antes de iniciar sesión, hacemos una consulta a nuestra base de datos para comprobar que dicho usuario no tiene ninguna sesión activa:

A continuación, iniciamos sesión en dos navegadores diferentes con el mismo usuario. Como podéis comprobar, Joomla no muestra ningún tipo de alerta y permite ambas sesiones para el mismo usuario. Una nueva consulta a nuestra base de datos muestra dos sesiones activas para nuestro usuario "kk":

Para corregir este comportamiento, nuestra próxima versión de Securitycheck y Securitycheck Pro incorporará una opción que no permitirá las sesiones simultáneas de los usuarios. Así, cuando se produzca el comportamiento que hemos descrito, todas las sesiones del usuario serán cerradas y éste obtendrá un mensaje de error:

Leer más:Protegiendo la sesión de usuario en Joomla