セッション・フィクゼーションとは?
状態:-
閲覧数:2,324
投稿日:2010-11-02
更新日:2014-05-26
セッション・フィクゼーション
・WebサイトにアクセスしてセッションIDを取得するまでは、「セッション・ハイジャック」の手口と同じ
・但し、この場合のクラッカは、ログインまではしない
・そのセッションIDを使ったログインを,狙いを定めた正規ユーザーにやらせるのがポイント
・クラッカは自分が取得したセッションIDを埋め込んだ偽のログイン・ページを用意し,それを正規ユーザーに利用させてログインさせる
・ログインさせた後にクラッカが自分で取得したセッションIDを使ってアクセスを行い,そのユーザーに成りすます
・WebサイトにアクセスしてセッションIDを取得するまでは、「セッション・ハイジャック」の手口と同じ
・但し、この場合のクラッカは、ログインまではしない
・そのセッションIDを使ったログインを,狙いを定めた正規ユーザーにやらせるのがポイント
・クラッカは自分が取得したセッションIDを埋め込んだ偽のログイン・ページを用意し,それを正規ユーザーに利用させてログインさせる
・ログインさせた後にクラッカが自分で取得したセッションIDを使ってアクセスを行い,そのユーザーに成りすます