![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2022-07-24T09:07:52+09:00","default:k1rou","k1rou") #author("2024-06-25T23:46:09+09:00","default:k1rou","k1rou") *セッションフィクセーションとは [#gb404505] **名称 [#g035e9fa] -Session Fixation -セッションIDの固定化攻撃 **概要 [#k2c92de8] -[[セッション・ハイジャック]]の手法の一つ -攻撃者が送りつけてきた攻撃者が生成したセッションIDを含むURLにアクセスすることでセッションを確立させ、攻撃者は自身が生成したセッションIDを使ってセッションをハイジャックする。 --攻撃者によりセッションIDを強制される攻撃 -既に確立されている[[セッション]]をハイジャックする訳ではない。 -パーミッシブなセッションID管理の脆弱性を突いた攻撃 -パーミッシブなセッションID管理の[[脆弱性]]を突いた攻撃 --認証で本人確認ができた後も同じセッションIDが有効な場合に、第三者による[[なりすまし]]ができる状態になる。 *セッションフィクセーション の対策 [#uf2861c9] -認証で本人確認ができた場合は新しいセッションIDを有効にし、認証する際に使用したセッションIDを無効にする。 -セッションIDの推測を困難にする -Webサーバの[[URL Rewriting]]機能を無効にする --[[Cookie]]が使えない場合に、セッションIDがGETメソッドでURLのパラメータとして引き渡されないようにする *関連用語 [#c5662a28] -[[セッション]] -[[フィッシング]] -[[クッキーモンスターバグ]]
