セッション・ハイジャック の履歴(No.2)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• セッション・ハイジャック へ行く。
  • 1 (2021-11-14 (日) 21:03:10)
  • 2 (2021-11-15 (月) 12:16:51)
  • 3 (2022-07-23 (土) 22:38:10)
  • 4 (2022-09-10 (土) 15:09:30)

セッション・ハイジャック とは†

• プロトコルやアプリケーションの脆弱性を悪用して、他者のセッションを奪い取り、そのセッション上で不正な行為を行う攻撃。
• セッションIDの推測、盗聴などによりセッションを奪う。
• セッションを奪い取られると、なりすましによる被害が発生する。

セッション・ハイジャックの種類†

TCP†

• TCPコネクションのシーケンス番号を特定して、偽装したパケットを発信してなりすます。
  • ソースIPアドレスを偽装する(IPスプーフィング)
  • 正規のクライアントがACKを応答するより前に、偽装したACKをサーバに発信してなりすます

UDP†

• クライアントからサーバへの問合せに対して、正規のサーバが応答する前に応答してなりすます。
  • ソースIPアドレスを偽装する(IPスプーフィング)
• DNSキャッシュポイズニング

Webサーバ†

• セッション管理の脆弱性を突いて攻撃する
  • セッションIDを推測または盗聴して、偽装したパケットを発信してなりすます

認証サーバ†

• 認証のプロセスに、サーバの信頼性を確認する手段がない場合に、認証サーバになりすましてパケットを盗聴する。

ARP†

• ARPスプーフィング(ARPポイズニング)
  • 攻撃者のMACアドレスと正規のホストのIPアドレスを組み合わせたARP応答を発信して、ARPキャッシュを偽装した内容に書き換える攻撃手法。
  • TCPコネクションのシーケンス番号も偽装する必要がある。

セッションフィクセーション†

• 「セッションフィクセーション」参照

対策†

• セッションIDを推測されずらくする。
  • 推測が困難なセッションID(乱数,ハッシュ)を生成する

• セッションIDを固定化しない。
  • ログインに成功したタイミングで、新たにセッションIDを生成して、ログイン画面表示時に生成したセッションIDを破棄する。

• セッションIDを盗聴されないようにする
  • 通信を暗号化する
    • Cookieのsecure属性を指定する。
  • セッションIDをURLのパラメータではなく、CookieやPOSTメソッドのhiddenパラメータで受け渡す
  • XSSの脆弱性を無くす

関連用語†

• セキュリティ
• セッション
• 中間者攻撃
• 不正アクセス
• リファラ
• Cookie
• IPスプーフィング
• WiFi
• WAF