Top > Session Hijacking/Replay

セッションハイジャック(乗っ取り)

正式に認証を受けたユーザが使用しているセッションIDを、攻撃者が取得して使用することで正規ユーザになりすまそうとする攻撃手法です。
ユーザ認証処理が安全だとしても、認証済み情報と紐付いたセッションIDが他人に盗まれて使用されては元の木阿弥です。

 

関連する脆弱性・攻撃手法

クロスサイトスクリプティング

Cookieでセッション管理を行っているWebアプリケーションにクロスサイトスクリプティングの脆弱性が存在する場合、攻撃者は、正規ユーザが保持するCookieを取得して、自分のWebサイトに送信するスクリプトを実行させるよう仕向けます。

セッション強制

手法自体はセッション乗っ取りとは考え方が異なるのですが、これもセッション管理に関連する攻撃手法のひとつです。

セッション乗っ取りが認証済みのセッションIDを盗み取ろうとする攻撃手法なのに対し、セッション強制は、攻撃者が取得したセッションIDを正規ユーザに強制的に使用させる攻撃です。

 

参考サイト


Reload   Unfreeze Diff Copy Rename   Front page List of pages Search Recent changes Backup Referer   Help   RSS of recent changes
Last-modified: Sun, 09 Jun 2013 21:39:15 HADT (2146d)