⌘K
ENES
GitHub
playbookPlaybooks de Seguridad~1 min de lecturaActualizado Apr 23, 2026

Inspect Session Handling

Objetivo

Determinar si los identificadores de sesión, lifecycle y comportamiento de cookies se manejan de forma segura a través de login, logout y transiciones de privilegio.

Supuestos

  • la app usa cookies o estado de sesión respaldado por tokens
  • el comportamiento del navegador influye en el riesgo
  • rotación e invalidación de sesión pueden estar incompletas

Prerrequisitos

  • una o más cuentas de prueba
  • browser devtools o tooling de proxy
  • capacidad de observar cookies y hacer replay de requests

Pasos de recon

  1. Registrá estado de sesión antes del login.
  2. Capturá headers Set-Cookie en login y logout.
  3. Observá comportamiento de sesión ante cambios de contraseña, cambios de rol e inactividad.

Pasos de exploit / testing

  1. Verificá si el identificador de sesión cambia después del login.
  2. Verificá si logout invalida estado server-side.
  3. Reproducí requests con cookies viejas después del logout.
  4. Testeá si las cookies usan HttpOnly, Secure y SameSite apropiado.
  5. Observá si transiciones privilegiadas reutilizan estado de sesión viejo.

Señales de validación

  • mismo session ID antes y después del login
  • cookies viejas siguen funcionando después del logout
  • cookies sin atributos seguros
  • la sesión persiste inesperadamente a través de transiciones de confianza

Mitigación

  • rotar sesiones después de authentication y cambios de privilegio
  • invalidar correctamente sesiones server-side
  • setear atributos seguros de cookie
  • mantener session IDs fuera de URLs y logs
  • alinear política de timeout con riesgo

Logging / detección

  • session IDs reutilizados entre múltiples estados auth
  • reutilización post-logout de sesiones supuestamente muertas
  • reutilización sospechosa de sesión a través de cambios de IP/dispositivo cuando corresponda

Notas relacionadas

Referencias

  • Fundamental: OWASP WSTG session management testing — https://owasp.org/www-project-web-security-testing-guide/latest/
  • Fundamental: OWASP Cheat Sheet Series — https://cheatsheetseries.owasp.org/
  • Fundamental: MDN Set-Cookie header — https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Set-Cookie

Notas relacionadas

Playbooks de SeguridadBreak JWT ValidationIdentificar si el manejo de JWT es lo suficientemente débil como para aceptar tokens inválidos, viejos, mal scopeados o influenciados por un atacante. Playbooks de SeguridadDetectar la recolección de BloodHoundDetectar la enumeración de Active Directory por colectores de la familia BloodHound (SharpHound / BloodHound-CE y sucesores como SOAPHound) lo suficientemente temprano como para identificar el host de origen, el principal de origen y el método de recolección antes de que el operador convierta el grafo de ataque resultante en una cadena Kerberoast → DCSync → Domain Admin — y con suficiente fidelidad como para sobrevivir a las evasiones realistas de 2026 (LDAP paginado/throttleado, recolección DCOnly, abuso de AD Web Services, colectores custom en memoria). Playbooks de SeguridadDetectar DCSync y acceso a ntds.ditDetectar las dos formas de extracción masiva de credenciales de Active Directory — DCSync (IDLDRSGetNCChanges vía la interfaz RPC DRSUAPI) y extracción offline de ntds.dit (acceso a nivel archivo, abuso de shadow-copy VSS, invocaciones de ntdsutil) — con fidelidad suficiente para identificar el principal origen, las cuentas afectadas y la ventana posterior a la extracción antes de que puedan usarse tickets falsificados (Golden Ticket o Silver Ticket). Playbooks de SeguridadDetect External Recon Scan PipelineDetectar a un operador externo corriendo un pipeline de recon de dos fases Masscan → Nmap-NSE (el playbook ofensivo Run External Recon Scan Pipeline) contra tu perímetro, con fidelidad suficiente para identificar fuente, scope e intención en minutos — antes de que los hallazgos de la fase de profundidad se conviertan en explotación posterior. Playbooks de SeguridadDetectar Kerberoasting y AS-REP RoastingDetectar las dos familias de ataques de credenciales Kerberos en Active Directory (Kerberoasting y AS-REP Roasting) mediante análisis behavioral sobre Event IDs 4768/4769 y telemetría complementaria, con fidelidad suficiente para identificar la cuenta origen, el host atacante y el alcance en minutos, y con durabilidad suficiente para sobrevivir pequeñas variaciones de tradecraft del operador (tipo de cifrado, tasa de requests, selección de cuentas). Playbooks de SeguridadExploit IDORDeterminar si los identificadores de objetos pueden manipularse para acceder a datos o acciones de otro usuario.