Security

セッション管理の不備 by IPA「安全なウェブサイトの作り方 第7版」

投稿日:2015年4月23日 更新日:

programming-583923_1280

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「セッション管理の不備」から一部抜粋する。(この資料はPDFでしか提供されていない)

セッションIDの推測

  • 悪意のある人は、セッションIDの生成規則を割り出し、有効なセッションIDを推測します。

セッションIDの盗用

  • 悪意のある人は、罠を仕掛けたり、ネットワークを盗聴したりし、利用者のセッションIDを盗みます。

セッションIDの固定化 (Session Fixation)

  • 悪意のある人は何らかの方法で自分が取得したセッションIDを利用者に送り込み、利用者のログインを 狙って、その利用者になりすまします。

注意が必要なウェブサイトの特徴

運営主体やウェブサイトの性質を問わず、ログイン機能を持つウェブサイト全般に注意が必要な問題です。ログイン後に決済処理等の重要な処理を行うサイトは、攻撃による被害が大きくなるため、特に注意が必要です。

  • 金銭処理が発生するサイト
    • ネットバンキング、ネット証券、ショッピング、オークション 等
  • 非公開情報を扱うサイト
    • 転職サイト、コミュニティサイト、ウェブメール 等
  • その他、ログイン機能を持つサイト
    • 管理者画面、会員専用サイト、日記サイト 等

根本的解決

  • (i) セッションIDを推測が困難なものにする。
  • (ii) セッションIDをURLパラメータに格納しない。
  • (iii) HTTPS通信で利用するCookieにはsecure属性を加える。
  • (iv)-a ログイン成功後に、新しくセッションを開始する。
  • (iv)-b ログイン成功後に、既存のセッション ID とは別に秘密情報を発行し、ページの遷移ごとにその値を確認する。

保険的対策

  • (v) セッションIDを固定値にしない。
  • (vi) セッションIDをCookieにセットする場合、有効期限の設定に注意する。

関連CWE

参考URL

📂-Security
-

執筆者:labo


comment

メールアドレスが公開されることはありません。

関連記事

セキュリティ

セキュリティの会社も疑ってみる

セキュリティの会社であっても営利企業なので、いろいろ思惑があって動くこともありますよ。 気を付けましょう。 全く出鱈目な注意喚起。対策の案内が出鱈目。https://t.co/gTCApCppvV(ネ …

no image

メールヘッダ・インジェクション by IPA「安全なウェブサイトの作り方 第7版」

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構、「メールヘッダ・インジェクション」から一部抜粋する。(この資料はPDFでしか提供されていない) 目次注意が必要なウェブサイト …

no image

SQLインジェクション対策 by IPA「安全なウェブサイトの作り方 第7版」

photo credit: Injection, Inject via photopin (license) 安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「SQLインジェクシ …

no image

クリックジャッキング by IPA「安全なウェブサイトの作り方 第7版」

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「クリックジャッキング」から一部抜粋する。(この資料はPDFでしか提供されていない) 目次注意が必要なウェブサイトの特徴根本的解決 …

no image

OWASPによる脆弱性対策に関するページ(www.owasp.org)を調べてみました

目次1. www.owasp.org について2. 関係してそうなカテゴリーページ3. 脆弱性別対策ページApplication ArchitectureCross-site Scripting (X …