[ホーム] > [サイバー攻撃大辞典 トップ] > [セッションフィクセイション]


作成日:2020/09/18

セッションフィクセイション

セッションフィクセイションの説明


フィクセイション(Fixation) は「固定化」という意味。何らかの方法で攻撃対象者のセッションID(主にcookieなど)を固定化し、そのセッションIDを知っている攻撃者が情報を盗み取る攻撃。

攻撃例


「Cookie Monster Bug」「HTTPヘッダインジェクション」やブラウザの脆弱性を使用した例。

(1)攻撃者が http://www.example.com/ にアクセスし cookie を取得する。
(2)攻撃者が悪意のサイト xxxxxxxxxx.com に攻撃対象者を誘導し、取得した cookie を攻撃対象者にセットする。
(3)攻撃対象者がwww.example.comにアクセスした時,(2)でセットされたcookieでアクセスを開始する(「Cookie Monster Bug」「HTTPヘッダインジェクション」やブラウザの脆弱性を利用)。攻撃者はcookieを知っているので情報を読み取ることができる。


対策


・サーバ側はクライアントのログイン後には異なるセッションIDを再割り当てする。
・Set-Cookie2を使用し不正なドメインからの取得したcookieの悪用を回避する。
・URLへのセッション埋め込み方式は使用しない。
・特にサブドメイン形式のレンタルドメインには「Cookie Monster Bug」に注意。







[ホーム] > [サイバー攻撃大辞典 トップ] > [セッションフィクセイション]


本サイト内掲載されている情報は、誰もその正当性は保証しません。独自の調査により判明した事項を記載しており、内容に誤りがある可能性があります。
内容により発生したいかなる損害は誰も補償しません。自己責任で参考として閲覧してください。
本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。 このページはリンクフリーです。(このページへの直接リンクも可能です。) Copyright(c) securitychecklist.net 2015 - 2020