セッションフィクセイション攻撃

SEのための情報セキュリティ対策
情報セキュリティ用語集 情報セキュリティ分野での専門用語について解説
Home> 情報セキュリティ用語集 >

セッションフィクセイション攻撃

セッションフィクセイション攻撃
スポンサードリンク



WEBアプリケーションシステムにおける、セッションハイジャックの手法の一つです。手法としては、ターゲットユーザに対して、攻撃者が生成したセッションIDを含むURLを送りつけ意図的にセッションを確立させ、そのセッションをハイジャックするというものです。

セッションフィクセイション攻撃の流れを以下に示します。


@ターゲットとなるWEBサイトでセッションIDを入手
 ↓
A入手したセッションIDを含むURLをリンク先として
フィッシングメールをユーザへ送付
 ↓
Bユーザがリンクをクリックすると、不正セッションIDを使ってターゲットサイトにログイン
 ↓
Cターゲットサイトで正規ユーザになりすまし、不正な操作を行う



有効な対策として、URL Rewriting機能を無効にすることが考えられます。

スポンサードリンク



免責事項 / サイトマップ / リンク /  問い合わせ
Copyright (C) 2008  SEのための情報セキュリティ対策  All rights reserved





スポンサードリンク