Secuestro de sesiones en PHP

Ayer estuve con un alumno hablando sobre el secuestro de sesiones en PHP (session hijacking). Me refiero a PHP porque es la tecnología que empleamos en la asignatura Programación en Internet, pero también se puede aplicar a otras tecnologías, como ASP, ASP.net o JSP.

Secuestra una sesión consiste en capturar el identificador de sesión de un usuario en una aplicación (normalmente almacenado en una cookie o transmitido a través de la URL), para replicarlo en otro ordenador y así tener acceso a la aplicación como si se fuese el otro usuario. Puede parecer complicado, pero en realidad es muy sencillo.

En el artículo PHP Security Guide: Sessions se explica este problema de seguridad y varios métodos para protegerse.

Por último, una página que recomiendo leer ya que se ofrecen siete buenos hábitos para proteger una aplicación web desarrollada con PHP: Seven habits for writing secure PHP applications.

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This site uses Akismet to reduce spam. Learn how your comment data is processed.