セッション固定化
セッション固定化 とは何ですか?
セッション固定化攻撃者が事前に既知のセッション ID を被害者のブラウザに仕込み、認証後もそのまま自分が利用できる状態にする攻撃。
セッション固定化は、未認証から認証済みへの遷移時に同じセッション ID を使い続けるアプリケーションを悪用します。攻撃者はまず JSESSIONID パラメータを含むリンクや Cookie インジェクションなどでセッション ID を取得・設定し、被害者がログインするのを待ちます。サーバーが固定された ID を認証済みセッションでも再利用するため、攻撃者は被害者のアカウントにアクセスできます。標準的な防御策はログイン成功時に既存セッションを破棄し、暗号学的乱数で新たなセッション ID を発行すること(HttpOnly・Secure・SameSite 付き Cookie が理想)です。URL パラメータでのセッション ID 受け取りを拒否し、セッションをクライアント属性に結びつけるとさらに堅牢になります。
● 例
- 01
攻撃者が「?sid=abc」を含むリンクで事前にセッション Cookie を設定し、被害者のログイン後に abc を悪用する。
- 02
ホスティング基盤がサブドメイン間でセッション ID を共有しており、侵害されたサブドメインから本体アプリのセッションを固定化できる。
● よくある質問
セッション固定化 とは何ですか?
攻撃者が事前に既知のセッション ID を被害者のブラウザに仕込み、認証後もそのまま自分が利用できる状態にする攻撃。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
セッション固定化 とはどういう意味ですか?
攻撃者が事前に既知のセッション ID を被害者のブラウザに仕込み、認証後もそのまま自分が利用できる状態にする攻撃。
セッション固定化 からどのように防御しますか?
セッション固定化 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。