セッションフィクセーション
2022-07-24 (日) 09:07:52
セッションフィクセーションとは †
名称 †
- Session Fixation
- セッションIDの固定化攻撃
概要 †
- セッション・ハイジャックの手法の一つ
- 攻撃者が送りつけてきた攻撃者が生成したセッションIDを含むURLにアクセスすることでセッションを確立させ、攻撃者は自身が生成したセッションIDを使ってセッションをハイジャックする。
- 攻撃者によりセッションIDを強制される攻撃
- 既に確立されているセッションをハイジャックする訳ではない。
- パーミッシブなセッションID管理の脆弱性を突いた攻撃
- 認証で本人確認ができた後も同じセッションIDが有効な場合に、第三者によるなりすましができる状態になる。
セッションフィクセーション の対策 †
- 認証で本人確認ができた場合は新しいセッションIDを有効にし、認証する際に使用したセッションIDを無効にする。
- セッションIDの推測を困難にする
- WebサーバのURL Rewriting機能を無効にする
- Cookieが使えない場合に、セッションIDがGETメソッドでURLのパラメータとして引き渡されないようにする