Hacker101 ~Session Fixation
色々見てきた続きです。
今回はこちらー!
- Introduction
- The Web In Depth
- XSS and Authorization
- SQL Injection and Friends
- Session Fixation <-今日はこれ
- Clickjacking
- File Inclusion Bugs
- File Upload Bugs
- Null Termination Bugs
- Unchecked Redirects
- Password Storage
- Crypto series
- Threat Modeling
- Writing Good Reports
- Burp Suite series
- Secure Architecture Review
- Server-Side Request Forgery
- Source Code Review
- XML External Entities
- Cookie Tampering Techniques
- Mobile App Hacking series
- Native Code Crash Course
◇何?
・ログインを行う際、セッションIDを使うことでユーザとIDを紐づける
その際、攻撃対象のセッションを任意のものに固定化することで、
その後のやり取りを攻撃者が認証なしで行うことができる
◇さらに
そもそもセッションIDが同一である=認証できているユーザであるとは限らない
なので、セッションIDを固定化して特定して、、、、といったことは必要ないはず
※ただし、ログイン回数を数えたり、ユーザ名やメールアドレスを保存するためには必要
◇対策
そもそもセッションIDを使わない!!!
ログイン完了後、新たなセッションIDを渡す
推測されにくいセッションIDを生成する
以上