【1】セッションハイジャック(Session Hijack)
* セッションIDやセッション・クッキーを盗むことにより、 別のユーザーがなりすまして、インターネットに不正アクセスする手口。
例
* 以下に書かれているように、他のユーザのセッションIDを使って、 そのユーザになりすまし、システムにアクセスする
http://www.atmarkit.co.jp/fsecurity/rensai/webhole03/webhole01.html
対策
* 類推が難しいセッションIDやクッキーを生成する * セッションIDやクッキーの有効期間を短くする * HTTPS通信で利用するCookieには、secure属性やHttpOnly属性を加える * IPSecやSSLを利用する * URLリライティング(※1)を禁止する * セッションキーをデフォルトから変更する(効果は薄いかもしれないが) ※1:URLリライティング URLパラメータとしてセッションIDを引き渡す機能
[プログラム言語に対してのセッションキー]
+ Java => JSESSIONID + PHP => PHPSESSID + ASP.NET => ASP.NET_SessionId
参考文献
http://securityblog.jp/words/87.html
http://www.atmarkit.co.jp/fsecurity/rensai/webhole03/webhole01.html
セッションハイジャックの対策について
http://thinkit.co.jp/free/trend/24/3/1.html
https://thinkit.co.jp/free/tech/7/4/1.html
【2】セッションフィクセーション(Session Fixation)
* 第三者(攻撃者)が予め用意しておいたセッションIDを ユーザー(攻撃対象者)に使わせて、 後からユーザーになりすます攻撃のこと
参考文献
http://itpro.nikkeibp.co.jp/article/COLUMN/20080221/294389/
関連記事
セキュリティ攻撃一覧
https://dk521123.hatenablog.com/entry/2011/07/19/110702
IPに関するセキュリティ攻撃
https://dk521123.hatenablog.com/entry/2016/01/10/031335
DNSに関するセキュリティ攻撃
https://dk521123.hatenablog.com/entry/2016/01/12/115100
パス・ディレクトリに関するセキュリティ攻撃
https://dk521123.hatenablog.com/entry/2016/01/03/104400
