色々見てきた続きです。

syachineko.hatenablog.com

今回はこちらー！

• Introduction
• The Web In Depth
• XSS and Authorization
• JavaScript for Hackers New!
• SQL Injection and Friends
• Session Fixation <-今日はこれ
• Clickjacking
• File Inclusion Bugs
• File Upload Bugs
• Null Termination Bugs
• Unchecked Redirects
• Password Storage
• Crypto series
  • Crypto Crash Course
  • Crypto Attacks
  • Crypto Wrap-Up
• Threat Modeling
• Writing Good Reports
• Burp Suite series
  • Getting Started
  • Maximizing Burp
  • Burp Hacks for Bounty Hunters
• Secure Architecture Review
• Server-Side Request Forgery
• Source Code Review
• XML External Entities
• Cookie Tampering Techniques
• Mobile App Hacking series
  • Mobile Hacking Crash Course
  • Android Quickstart
  • Common Android Bugs New!
  • iOS Quickstart
• Native Code Crash Course

• Session Fixation

◇何？

　・ログインを行う際、セッションIDを使うことでユーザとIDを紐づける

　　その際、攻撃対象のセッションを任意のものに固定化することで、

　　その後のやり取りを攻撃者が認証なしで行うことができる

◇さらに

　　そもそもセッションIDが同一である＝認証できているユーザであるとは限らない

　　なので、セッションIDを固定化して特定して、、、、といったことは必要ないはず

　　※ただし、ログイン回数を数えたり、ユーザ名やメールアドレスを保存するためには必要

◇対策

　　　そもそもセッションIDを使わない！！！

　　　ログイン完了後、新たなセッションIDを渡す

　　　推測されにくいセッションIDを生成する

以上