Joven hacker sonriendo

Hackeamos su software

cero falsos positivos

Inteligencia experta + automatización eficaz

REQ.025 Controlar sesiones concurrentes

En el presente documento se detallan los requerimientos de seguridad relacionados a la gestión adecuada de sesiones concurrentes en un sistema que permita el acceso simultáneo de usuarios a sus servicios, evitando así, que un usuario mal intencionado interactúe al tiempo con un usuario válido.

Requisito

Las sesiones concurrentes de un sistema se deben controlar o informar.

Descripción

Un sistema que maneja sesiones de acceso autenticadas y asociadas a usuarios únicos puede permitir el acceso simultaneo a sus servicios mediante el uso de las mismas credenciales, esto supone varios riesgos para el servicio, la información y los usuarios del sistema al permitir que un usuario mal intencionado interactúe al tiempo con el sistema que un usuario válido, lo que conlleva a robos de sesión inadvertidos, ejecución de acciones a nombre de un usuario válido sin su autorización (suplantación) y pérdida de la trazabilidad de las acciones de un usuario suplantado.[1],[2]

Implementación

  1. Limitar o eliminar la concurrencia en sesiones: Configurar en el sistema según su naturaleza la opción de controlar la conexión simultanea utilizando las mismas credenciales ya sea desde un sistema de autenticación externo o desde el mismo sistema.

Ataques

  1. Un atacante inicia sesión en una cuenta de manera simultánea a un usuario legítimo.

  2. Un atacante efectúa acciones a nombre de un usuario legítimo sin trazabilidad y sin autorización del usuario legítimo.

Atributos

  1. Capa: Capa de Aplicación

  2. Activo: Administración de sesiones

  3. ​Alcance: Integridad

  4. ​Fase: Operación

  5. ​Tipo Control: Procedimiento


Estado de los servicios - Términos de Uso