Este tipo de ataque ocorre quando o hacker consegue obter o ID da sessão http de um usuário. O hacker grava o ID no seu próprio navegador enganando a aplicação, se passando indevidamente pelo usuário legítimo. Desta forma, ele pode conseguir a sessão do usuário explorando Cross Site Scripting ou tendo acesso físico à máquina do usuário legítimo.

Recomendações

As equipes de desenvolvimento de software devem executar suas atividades baseadas na ISO 15408.  Esta norma define os requisitos funcionais de segurança, ou seja, quais os requisitos de segurança o software deve atender.

Em caso de alteração na aplicação web, as empresas devem considerar uma auditoria de segurança. O que ocorre na realidade é que novas falhas são inseridas em cada modificação. Essas falhas vão sendo corrigidas reduzindo o nível de falhas até que uma nova modificação (versão) seja realizada e introduza novas falhas elevando novamente o nível de falhas.

As empresas devem considerar a utilização do WAF (Web Application Firewall). Estes sistemas atuam na camada de aplicação, diferentemente dos firewalls de redes tradicionais. Possuem tecnologias e filtros específicos para HTTP, HTTPS, HTML, Web Service, Cookies etc.

Leia ainda:
>Script malicioso pode indicar histórico de buscas
>Página personalizada do Google tem falha

Denny Roger é um dos fundadores da Batori Software & Security, já atuou como Security Officer de instituições financeiras e é autor dos cursos Segurança da Informação em Ambientes de Rede e Sistema de Gestão da Segurança da Informação – ISO 17799. E-mail: denny@batori.com.br .