セッション・フィクゼーション

セキュリティ

セッション・フィクゼーションとは?

 状態:-  閲覧数:2,226  投稿日:2010-11-02  更新日:2014-05-26  
セッション・フィクゼーション
・WebサイトにアクセスしてセッションIDを取得するまでは、「セッション・ハイジャック」の手口と同じ
・但し、この場合のクラッカは、ログインまではしない
・そのセッションIDを使ったログインを,狙いを定めた正規ユーザーにやらせるのがポイント
・クラッカは自分が取得したセッションIDを埋め込んだ偽のログイン・ページを用意し,それを正規ユーザーに利用させてログインさせる
・ログインさせた後にクラッカが自分で取得したセッションIDを使ってアクセスを行い,そのユーザーに成りすます


register_globals

コメント投稿(ログインが必要)



週間人気ページランキング / 9-9 → 9-15
順位 ページタイトル抜粋 アクセス数
1 session_start() | セッション 8
2 定数 7
3 「POSIX正規表現」と「PCRE正規表現」の違い 5
4 ob紛らわしい関数()一覧 | 出力バッファリング制御(関数) 4
4 演算子 カテゴリー 4
5 コード例 … 「例外処理」はネストすることができる 3
5 Fatal error: Using $this when not in object context in /○○.php on line △△ | Fatal error(エラーメッセージ) 3
5 Warning: strlen() expects parameter 1 to be string, array given in ○○.php on line △△ | Warning(エラーメッセージ) 3
5 Warning: include() [function.include]: Failed opening '**.php' for inclusion (in | Warning(エラーメッセージ) 3
5 http_build_query | URLs(関数) 3
5 Parse error: syntax error, unexpected 'public' (T_PUBLIC) | Parse error(エラーメッセージ) 3
5 Fatal error: Access level to ▲::$△ must be protected (as in class ●) or weaker | Fatal error(エラーメッセージ) 3
5 スコープ | 変数 3
6 オブジェクト | クラスとオブジェクト 2
6 Fatal error: Call to undefined method MDB2_Error::execute() in ○○ on line △△ | Fatal error(エラーメッセージ) 2
6 PHPで定数を定義する方法は2種類ある / 配列定数の定義 2
6 htmlspecialchars / htmlentities / addslashes / mysql_real_escape_string / mysqli_real_escape_string | セキュリティ 2
6 セッション管理が必要な理由は、HTTPプロトコルには状態を保持する機能がないため | セッション 2
6 Trying to get property of non-object  | Notice(エラーメッセージ) 2
6 Fatal error(エラーメッセージ) カテゴリー 2
2025/9/16 1:01 更新