Whitepaper: Session Riding – A Widespread Vulnerability in Today’s Web Applications

Session Riding bezeichnet eine Möglichkeit des Missbrauchs einer bestehenden Session. Bei diesem Angriff wird ein von außen zugeführter Link im Kontext einer bestehenden Session ausgeführt und wirkt daher auf den Daten des betroffenen Benutzers. Potentiell betroffen ist jede Webanwendung, die nicht besondere Vorkehrungen getroffen hat (kaum eine hat dies). Eine besondere Klasse von betroffenen Anwendungen sind solche, die eigentlich gar keine Webanwendungen sind, sondern lediglich mit einem Webfrontend gesteuert oder konfiguriert werden, nämlich Firewalls, Router, Server usw. Mittels Session Riding lassen sie sich – sogar bis ins Intranet hinein – manipulieren.

Dezember 2004