Un Bac à Sable, ou "sandbox" en informatique fait référence à un lieu où l'on peut tester sans rien casser. Vous obtenez donc un aperçu du fonctionnement des attaques et failles informatiques les plus communes comme si elles étaient bien réelles.
Bien sûr seuls des morceaux précis de code sont simulés. Cette page a pour seul but de comprendre et de corriger les failles en question. Amusez-vous bien !

      Retour à la liste des mises en situation.


Le vol de session permet à un utilisateur X de récupérer une session d'un utilisateur Y.
Cela lui permet à X de se connecter en tant qu'Y sans fournir de mots de passe. Nous allons ici donner l'exemple de la fixation de session.
Les attaques par fixation de session permettent de définir un numéro de session arbitraire.

Imaginons que l'exemple qui suit est un réseau social comme Facebook.
Michel remarque une faille permettant de fixer la session de Marie via le paramètre SID d'une URL.
Il va donc fixer la session avec un numéro arbitraire, disons 0123456.
Il envoie ensuite le lien préparé à Marie, qui va quant à elle se connecter à Facebook avec ce SID prédéfini (car présent dans l'URL).
Il restera à Michel de se rendre à son tour sur son lien préparé pour être automatiquement connecté en tant que Marie sans avoir a fournir d'identifiants.

Ordinateur de Michel	Ordinateur de Marie
Michel va fixer une session. Il va envoyer le lien suivant à Marie: http://www.exemplefacebook.com/?SID=0123456	Marie va cliquer sur le lien et se connecter.

---

Explications et contre-mesures

Il ne faut pas définir d'id de session (SID) via les requêtes POST ou GET.
Il faut également changer le SID à chaque nouvelle connexion.