Top > Session Hijacking/Replay

セッションハイジャック(乗っ取り)

正式に認証を受けたユーザが使用しているセッションIDを、攻撃者が取得して使用することで正規ユーザになりすまそうとする攻撃手法です。
ユーザ認証処理が安全だとしても、認証済み情報と紐付いたセッションIDが他人に盗まれて使用されては元の木阿弥です。

 

関連する脆弱性・攻撃手法

クロスサイトスクリプティング

Cookieでセッション管理を行っているWebアプリケーションにクロスサイトスクリプティングの脆弱性が存在する場合、攻撃者は、正規ユーザが保持するCookieを取得して、自分のWebサイトに送信するスクリプトを実行させるよう仕向けます。

セッション強制

手法自体はセッション乗っ取りとは考え方が異なるのですが、これもセッション管理に関連する攻撃手法のひとつです。

セッション乗っ取りが認証済みのセッションIDを盗み取ろうとする攻撃手法なのに対し、セッション強制は、攻撃者が取得したセッションIDを正規ユーザに強制的に使用させる攻撃です。

 

参考サイト


リロード   凍結解除 差分 コピー 名前変更   ホーム 一覧 検索 最終更新 バックアップ リンク元   ヘルプ   最終更新のRSS
Last-modified: Mon, 10 Jun 2013 15:39:15 JST (1864d)