#author("2021-12-17T13:25:13+09:00","default:k1rou","k1rou")
#author("2022-07-24T09:07:52+09:00","default:k1rou","k1rou")
*セッションフィクセーションとは [#gb404505]
**名称 [#g035e9fa]
-Session Fixation
-セッションIDの固定化攻撃
**概要 [#k2c92de8]
-[[セッション・ハイジャック]]の手法の一つ
-攻撃者が送りつけてきた攻撃者が生成したセッションIDを含むURLにアクセスすることでセッションを確立させ、攻撃者は自身が生成したセッションIDを使ってセッションをハイジャックする。
--攻撃者によりセッションIDを強制される攻撃
-既に確立されている[[セッション]]をハイジャックする訳ではない。
-パーミッシブなセッションID管理の脆弱性を突いた攻撃
--認証で本人確認ができた後も同じセッションIDが有効な場合に、第三者によるなりすましができる状態になる。
--認証で本人確認ができた後も同じセッションIDが有効な場合に、第三者による[[なりすまし]]ができる状態になる。
*セッションフィクセーション の対策 [#uf2861c9]
-認証で本人確認ができた場合は新しいセッションIDを有効にし、認証する際に使用したセッションIDを無効にする。
-セッションIDの推測を困難にする
-Webサーバの[[URL Rewriting]]機能を無効にする
--[[Cookie]]が使えない場合に、セッションIDがGETメソッドでURLのパラメータとして引き渡されないようにする
*関連用語 [#c5662a28]
-[[セッション]]
-[[フィッシング]]
-[[クッキーモンスターバグ]]
編集
添付
差分
バックアップ