This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org
Difference between revisions of "Session Management Cheat Sheet Español"
Eugeniabahit (talk | contribs) (→Entropía del ID de Sesión) |
Eugeniabahit (talk | contribs) |
||
Line 60: | Line 60: | ||
'''''OBSERVACIONES''''': La entropía del ID de sesión está realmente afectada por otros factores externos que son difíciles de medir, tales como la concurrencia de sesiones activas que la aplicación Web tiene comúnmente, el tiempo de espera de caducidad absoluta de la sesión, la cantidad de intentos de adivinación de ID de sesiones por segundo, que el atacante puede hacer y que la aplicación de destino pueda soportar, etc [2]. Si un ID de sesión con una entropía de 64 bits es usada, tomará al tacante, al menos 292 años adivinar con éxito un ID de sesión válido, asumiendo que el atacante pueda intentar 10,000 adivinaciones por segundo con 100,000 sesiones simultáneas válidas en la aplicación Web[2]. | '''''OBSERVACIONES''''': La entropía del ID de sesión está realmente afectada por otros factores externos que son difíciles de medir, tales como la concurrencia de sesiones activas que la aplicación Web tiene comúnmente, el tiempo de espera de caducidad absoluta de la sesión, la cantidad de intentos de adivinación de ID de sesiones por segundo, que el atacante puede hacer y que la aplicación de destino pueda soportar, etc [2]. Si un ID de sesión con una entropía de 64 bits es usada, tomará al tacante, al menos 292 años adivinar con éxito un ID de sesión válido, asumiendo que el atacante pueda intentar 10,000 adivinaciones por segundo con 100,000 sesiones simultáneas válidas en la aplicación Web[2]. | ||
+ | |||
= Autores y Editores Principales = | = Autores y Editores Principales = |
Revision as of 02:35, 7 August 2015
Last revision (mm/dd/yy): 08/7/2015 IntroducciónAutentificación Web, Manejo de sesiones y Control de Acceso Una sesión Web es una secuencia de solicitudes de red HTTP y respuestas de transacción asociadas a un mismo usuario. Las aplicaciones Web modernas y complejas requieren mantener la información o el estado sobre cada usuario a lo largo de las múltiples solicitudes. Por lo tanto, las sesiones proporcionan una forma de establecer variables – como el derecho de acces y los ajustes de localización – que serán aplicadas a todas y cada una de las interacciones que el usuario tenga con la aplicación Web a lo largo de toda una sesión. Las aplicaciones web pueden crear sesiones para realizar un seguimiento de los usuarios anónimos después de la primera solicitud de éstos. Un ejemplo podría ser mantener la preferencia de idioma del usuario. Adicionalmente, las aplicaciones Web harán uso de las sesiones una vez que el usuario haya sido autentificado. Esto asegura la capacidad de identificar al usuario en cualquier solicitud posterior así como también, aplicar los controles de acceso de seguridad, el acceso autorizado a los datos privados del usuario e incrementar la usabilidad de la aplicación. Por lo tanto, las aplicaciones web actuales pueden proporcionar las capacidades de sesión, tanto pre como post autentificación. Una vez que una sesión autentificada ha sido establecida, el ID de sesión (o token) es temporalmente equivalente al método de autentificación más fuerte utilizado por la aplicación, tales como nombres de usuario y contraseña, frases de paso, contraseñas de un solo uso (OTP), certificados digitales basados en el cliente, tarjetas inteligentes o biometría (como las huellas dactilares o la retina del ojo). Ver la Guía de Referencias de OWASP sobre Autentificación.
Características del ID de SesiónPara mantener el estado autentificado y hacer un seguimiento del progreso del usuario dentro de la aplicación web, éstas deben proporcionar al usuario un identificador de sesión (ID de Sesión o token) que es asignado al momento de crear la sesión y es compartido e intercambiado entre el usuario y la aplicación Web durante toda la sesión (esto es enviado en cada solicitud HTTP). El ID de sesión se compone de un par "nombre=valor". Con el objetivo de implementar ID de sesión seguros, la generación de identificadores (IDs o tokens) debe reunir las siguientes características:
Huella digital del nombre del ID de SesiónEl nombre utilizado por el ID de sesión no debe ser muy descriptivo ni ofrecer detalles innecesarios sobre el propósito y el significado de éste. A los nombres de ID de sesión usados por los marcos de desarrollo más comunes, tales como PHPSESSID (PHP), JSESSIONID (J2EE), CFID & CFTOKEN (ColdFusion), ASP.NET_SessionId (ASP .NET), etc., se les puede obtener la huella digital fácilmente. Por lo tanto, el nombre del ID de sesión puede revelar las tecnologías y los lenguajes de programación utilizados por la aplicación web. Se recomienda cambiar el nombre de ID de sesión por defecto, a un nombre genérico como "id". Longitud del ID de sesiónEl ID de sesión debe ser lo suficientemente largo para evitar ataques de fuerza bruta, en los que un atacante puede recorrer un rango de valores de ID y verificar la existencia de sesiones válidas. La longitud del ID de sesión debe ser de al menos 128 bit (16 bytes).
Entropía del ID de SesiónEl ID de sesión debe ser impredecible (lo suficientemente aleatorio) para prevenir ataques que intenten adivinarlos, en los que donde un atacante es capaz de adivinar o predecir el ID de una sesión válida a través de técnicas de análisis estadístico. Para este propósito, un buen Generador de Números Pseudo Aleatorios (PRNG, siglas en inglés de Pseudo Random Number Generator) debe ser usado. El valor del ID de sesión debe proporcionar al menos 64 bits de entropía (si un buen PRNG es usado, este valor se estima es la mitad de la longitud del ID de sesión).
Autores y Editores PrincipalesRaul Siles (DinoSec) - raul[at]dinosec.com
Eugenia Bahit |