Glosario
Qué es la fijación de sesión: hacer que una víctima inicie sesión con un ID que el atacante ya conoce
La fijación de sesión hace que una víctima use un ID de sesión que el atacante plantó, y luego la suplanta una vez que inicia sesión con él. Cómo funciona y la defensa real: regenerar el ID de sesión al iniciar sesión, no aceptar nunca un ID desde la URL, fijar las marcas de la cookie, explicado en clave defensiva.
«La víctima inicia sesión con un ID que el atacante preparó»: eso es la fijación de sesión. Aquí tienes cómo funciona y cómo prevenirla de forma fiable (sin pasos de ataque).
Por qué funciona
El meollo es un diseño donde el ID de sesión no cambia al iniciar sesión. Si no cambia, un ID que el atacante conocía antes del inicio de sesión sigue funcionando como «autenticado» después del inicio de sesión.
Puede combinarse con CSRF o XSS, pero la esencia de la fijación en sí es una sola cosa: el ID no se regeneró al iniciar sesión.
Defensa: regenera el ID al iniciar sesión
Regenera el ID de sesión al iniciar sesión con éxito (lo más importante)
No aceptes IDs de sesión por la URL
Refuerza las marcas de la cookie
HttpOnly (JS no puede leerlas), Secure (solo HTTPS) y SameSite (frena el envío entre sitios). Debilita en conjunto las vías de secuestro relacionadas.Caduca las sesiones con criterio
La visión de este sitio: no desactives el 'regenerate' del framework
La fijación de sesión se cierra en gran medida con un solo movimiento —regenerar el ID al iniciar sesión—, no con código personalizado elaborado. La clave es no desactivar por accidente ni olvidarse de llamar al mecanismo que tu framework ya proporciona. Aprovechar los valores predeterminados seguros de una implementación probada supera a montar tu propia gestión de sesiones a mano. En este sitio nos atenemos a «no construyas tú mismo la autenticación/gestión de claves; no desactives los valores predeterminados seguros». Como con el IDOR, la autenticación/autorización debe imponerse mediante un mecanismo en cada solicitud.
Sigue leyendo
- Glosario: Qué es CSRF · Qué es XSS · Qué es IDOR
FAQ
Q¿En qué se diferencia la fijación del secuestro de sesión?
El secuestro roba un ID de sesión ya emitido a alguien. La fijación es lo contrario: el atacante consigue que la víctima use un ID que el atacante ya conoce, y luego espera a que la víctima inicie sesión con él. No roba: consigue que un ID conocido por el atacante quede autenticado.
Q¿Cuál es la mejor defensa?
Regenerar el ID de sesión en el momento del inicio de sesión. La mayoría de los frameworks/librerías de sesión tienen esto (session regenerate/renew): al autenticarse con éxito, descarta el ID antiguo y emite uno nuevo. Eso por sí solo invalida cualquier ID que el atacante plantara de antemano. Regenera también en los cambios de privilegios (por ejemplo, al convertirse en administrador).
Q¿Por qué es peligroso poner un ID de sesión en la URL?
Un ID en la URL se filtra con facilidad mediante enlaces compartidos, la cabecera Referer, los registros y el historial del navegador: una forma de que un atacante haga que la víctima use un ID 'fijado'. Maneja los IDs de sesión en cookies, no en parámetros de URL, y no aceptes un ID especificado mediante la URL.