[サイバー攻撃大辞典 トップへ]

セッションハイジャック


スポンサー リンク

説明


2台のコンピュータが通信中とする。攻撃者が片方のコンピュータに成りすまし、データを盗聴したり相手コンピュータを不正に操作する。


攻撃例


中間者攻撃(man-in-the-middle attack)


対策


・セッションIDなど盗難、推測されにくくする。(IDや時間時刻、連番などからの生成は推測が可能)
・セッションIDのURL組み込みは避ける。(Proxyキャッシュ、各種機器、Refererからの漏えい)
・ログイン後など必要に応じてセッションIDを再発行する。(セッションフィクセイション(Session Fixation)対策)
・SSL通信など通信を暗号化する。
・SSL通信ではサーバ証明書により通信相手を確認する。
・cookieを使用する場合はsecure 属性を付加する。(SSL通信時のみcookieを送信する設定)
・cookieを使用する場合は、有効期限を適切に設定する。


スポンサー リンク






[サイバー攻撃大辞典 トップへ]


本サイト内掲載されている情報は、誰もその正当性は保証しません。独自の調査により判明した事項を記載しており、内容に誤りがある可能性があります。
内容により発生したいかなる損害は誰も補償しません。自己責任で参考として閲覧してください。
本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。 このページはリンクフリーです。(このページへの直接リンクも可能です。) Copyright(c) securitychecklist.net 2917