[ホーム] >
[サイバー攻撃大辞典 トップ] > [セッションハイジャック]
作成日:2020/09/18
セッションハイジャック
2台のコンピュータが通信中とする。攻撃者が片方のコンピュータに成りすまし、データを盗聴したり相手コンピュータを不正に操作する。
攻撃例
中間者攻撃(man-in-the-middle attack)
対策
・セッションIDなど盗難、推測されにくくする。(IDや時間時刻、連番などからの生成は推測が可能)
・セッションIDのURL組み込みは避ける。(Proxyキャッシュ、各種機器、Refererからの漏えい)
・ログイン後など必要に応じてセッションIDを再発行する。(セッションフィクセイション(Session Fixation)対策)
・SSL通信など通信を暗号化する。
・SSL通信ではサーバ証明書により通信相手を確認する。
・cookieを使用する場合はsecure 属性を付加する。(SSL通信時のみcookieを送信する設定)
・cookieを使用する場合は、有効期限を適切に設定する。
[ホーム] >
[サイバー攻撃大辞典 トップ] > [セッションハイジャック]
本サイト内掲載されている情報は、誰もその正当性は保証しません。独自の調査により判明した事項を記載しており、内容に誤りがある可能性があります。
内容により発生したいかなる損害は誰も補償しません。自己責任で参考として閲覧してください。
本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。
このページはリンクフリーです。(このページへの直接リンクも可能です。)
Copyright(c) securitychecklist.net 2015 - 2020