セッションフィクセーション の履歴(No.2)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• セッションフィクセーション へ行く。
  • 1 (2021-11-14 (日) 12:03:10)
  • 2 (2021-12-17 (金) 13:25:13)
  • 3 (2022-07-24 (日) 09:07:52)

セッションフィクセーションとは†

名称†

• Session Fixation
• セッションIDの固定化攻撃

概要†

• セッション・ハイジャックの手法の一つ

• 攻撃者が送りつけてきた攻撃者が生成したセッションIDを含むURLにアクセスすることでセッションを確立させ、攻撃者は自身が生成したセッションIDを使ってセッションをハイジャックする。
  • 攻撃者によりセッションIDを強制される攻撃

• 既に確立されているセッションをハイジャックする訳ではない。

• パーミッシブなセッションID管理の脆弱性を突いた攻撃
  • 認証で本人確認ができた後も同じセッションIDが有効な場合に、第三者によるなりすましができる状態になる。

セッションフィクセーション の対策†

• 認証で本人確認ができた場合は新しいセッションIDを有効にし、認証する際に使用したセッションIDを無効にする。
• セッションIDの推測を困難にする

• WebサーバのURL Rewriting機能を無効にする
  • Cookieが使えない場合に、セッションIDがGETメソッドでURLのパラメータとして引き渡されないようにする

関連用語†

• セッション
• フィッシング
• クッキーモンスターバグ