セッションハイジャックとは?
コンピュータ間の通信におけるセッションを第三者が乗っ取る攻撃方法、Webアプリケーションでユーザーのログイン状態を管理するのがセッションであり、クライアントはcookieを用いて情報を保持しています。
攻撃内容
ユーザーのクレジット情報や個人情報を搾取します。
セッションIDが漏洩する原因
推測されるケース
連番や日付等の推測されやすいセッションIDとしてしまう場合
Webアプリの脆弱性
代表的な例としてはXSSがあります。
セッションIDの固定化(セッションフィクセーション)
攻撃者が事前にサイトにログインをしておき、罠を仕掛けて一般人をその攻撃者のセッションIDでログインするよう仕向ける。攻撃者はその後サイトを自由に操作する。
対策
- フレームワークに用意されているセッション管理機構を使う。
- ログイン後に新しいセッションを発行するようにする。(セッションフィクセーション対策)
- WAFを導入する。
この記事へのコメントはありません。