セッションフィクセーション

セッションフィクセーションとは †

名称 †

• Session Fixation
• セッションIDの固定化攻撃

概要 †

• セッション・ハイジャックの手法の一つ

• 攻撃者が送りつけてきた攻撃者が生成したセッションIDを含むURLにアクセスすることでセッションを確立させ、攻撃者は自身が生成したセッションIDを使ってセッションをハイジャックする。
  • 攻撃者によりセッションIDを強制される攻撃

• 既に確立されているセッションをハイジャックする訳ではない。

• パーミッシブなセッションID管理の脆弱性を突いた攻撃
  • 認証で本人確認ができた後も同じセッションIDが有効な場合に、第三者によるなりすましができる状態になる。

セッションフィクセーション の対策 †

• 認証で本人確認ができた場合は新しいセッションIDを有効にし、認証する際に使用したセッションIDを無効にする。
• セッションIDの推測を困難にする

• WebサーバのURL Rewriting機能を無効にする
  • Cookieが使えない場合に、セッションIDがGETメソッドでURLのパラメータとして引き渡されないようにする

関連用語 †

• セッション
• フィッシング
• クッキーモンスターバグ