My Photo

« クロスサイトリクエストフォージェリ(CSRF)その3 | Main | セッション管理の不備 その2 »

November 05, 2013

セッション管理の不備 その1

セッションハイジャックの原因

第三者がセッションIDを知るための手段は以下の3種類に分類される。

  • セッションIDの推測
    攻撃対象攻撃手法脆弱性
    アプリケーションセッションIDの推測自作セッション管理機構の脆弱性
    ミドルウェアセッションIDの推測ミドルウェアの脆弱性
  • セッションIDの盗み出し
    攻撃対象攻撃手法脆弱性
    アプリケーションXSSXSS脆弱性
    HTTPヘッダ・インジェクションHTTPヘッダ・インジェクション
    脆弱性
    Refererの悪用URL埋め込みのセッションID
    ミドルウェアアプリケーションと同様ミドルウェアの脆弱性
    ネットワークネットワーク盗聴クッキーのセキュア属性不備ほか
  • セッションIDの強制
    攻撃対象攻撃手法脆弱性
    アプリケーションセッションIDの固定化攻撃セッションIDの固定化脆弱性

セッションハイジャックの影響

セッションがハイジャックされた場合、利用者に対するなり酢マシが行われ以下の影響がある。

  • 利用者の重要情報(個人情報、メールなど)の閲覧
  • 利用者の持つ権限での操作
  • 利用者のIDによるメール送信、ブログなどへの投稿、設定の変更など

参考文献:体系的に学ぶWebアプリケーションの作り方 4.6.1 セッションハイジャックの原因と影響

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
徳丸 浩

ソフトバンククリエイティブ 2011-03-03
売り上げランキング : 4070

Amazonで詳しく見る
by G-Tools

« クロスサイトリクエストフォージェリ(CSRF)その3 | Main | セッション管理の不備 その2 »

セキュリティ」カテゴリの記事

Comments

Post a comment

(Not displayed with comment.)

TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/26461/58522244

Listed below are links to weblogs that reference セッション管理の不備 その1:

« クロスサイトリクエストフォージェリ(CSRF)その3 | Main | セッション管理の不備 その2 »

April 2017
Sun Mon Tue Wed Thu Fri Sat
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30            
無料ブログはココログ

日本blog村

  • にほんブログ村 IT技術ブログへ
  • にほんブログ村 アニメブログへ
  • にほんブログ村 サッカーブログ アルビレックス新潟へ

好きな音楽家

メモ

XI-Prof