create a new page, using
Session Hijacking/Replay
as a template.
[
Front page
|
List of pages
|
Search
|
Recent changes
|
Help
] [
New
]
Start:
TITLE:脆弱性 - Webアプリケーション - セッションハイジャック
*セッションハイジャック(乗っ取り) [#SESSION_HIJACKING]
正式に認証を受けたユーザが使用しているセッションIDを、攻...
ユーザ認証処理が安全だとしても、認証済み情報と紐付いたセ...
#br
**関連する脆弱性・攻撃手法 [#ec437f4f]
***[[クロスサイトスクリプティング>Cross Site Scripting]] ...
>Cookieでセッション管理を行っているWebアプリケーションに...
***[[セッション強制>Session Fixation]] [#he2cc389]
>手法自体はセッション乗っ取りとは考え方が異なるのですが、...
~
セッション乗っ取りが認証済みのセッションIDを盗み取ろうと...
#br
*参考サイト [#d1a61fdf]
-[[[Think IT] 第3回:Railsでセッションハイジャックを実体...
--Ruby on Railsで構築したサイトをベースにした攻撃手法と対...
//**検証方法 [#uae8fdc7]
//***予備検証 [#xb5320cb]
//+ひとつの端末で検証
//++WebブラウザAで操作
//+++検証対象のWebサイトにログインし、ログイン中のみ表示...
//+++表示した画面のURLを控えておく。また、可能な場合、Web...
//++WebブラウザB(WebブラウザAとUser-Agent[UA]が異なる...
//+++控えておいたURLにアクセスする。
//ログイン後にのみ遷移可能な画面を表示する際に送信するCoo...
//+複数端末を使用して検証
//++ログイン後にのみ遷移可能な画面を表示する際に送信するC...
//>上記の検証で画面遷移に失敗した場合、セッションIDだけで...
//ただ、UAはブラウザレベルで変更(詐称)が可能ですし、IPア...
//よって、そもそも接続元を特定する材料にするには無理があ...
End:
TITLE:脆弱性 - Webアプリケーション - セッションハイジャック
*セッションハイジャック(乗っ取り) [#SESSION_HIJACKING]
正式に認証を受けたユーザが使用しているセッションIDを、攻...
ユーザ認証処理が安全だとしても、認証済み情報と紐付いたセ...
#br
**関連する脆弱性・攻撃手法 [#ec437f4f]
***[[クロスサイトスクリプティング>Cross Site Scripting]] ...
>Cookieでセッション管理を行っているWebアプリケーションに...
***[[セッション強制>Session Fixation]] [#he2cc389]
>手法自体はセッション乗っ取りとは考え方が異なるのですが、...
~
セッション乗っ取りが認証済みのセッションIDを盗み取ろうと...
#br
*参考サイト [#d1a61fdf]
-[[[Think IT] 第3回:Railsでセッションハイジャックを実体...
--Ruby on Railsで構築したサイトをベースにした攻撃手法と対...
//**検証方法 [#uae8fdc7]
//***予備検証 [#xb5320cb]
//+ひとつの端末で検証
//++WebブラウザAで操作
//+++検証対象のWebサイトにログインし、ログイン中のみ表示...
//+++表示した画面のURLを控えておく。また、可能な場合、Web...
//++WebブラウザB(WebブラウザAとUser-Agent[UA]が異なる...
//+++控えておいたURLにアクセスする。
//ログイン後にのみ遷移可能な画面を表示する際に送信するCoo...
//+複数端末を使用して検証
//++ログイン後にのみ遷移可能な画面を表示する際に送信するC...
//>上記の検証で画面遷移に失敗した場合、セッションIDだけで...
//ただ、UAはブラウザレベルで変更(詐称)が可能ですし、IPア...
//よって、そもそも接続元を特定する材料にするには無理があ...
Page: