セッションフィクセイション攻撃 |
スポンサードリンク
WEBアプリケーションシステムにおける、セッションハイジャックの手法の一つです。手法としては、ターゲットユーザに対して、攻撃者が生成したセッションIDを含むURLを送りつけ意図的にセッションを確立させ、そのセッションをハイジャックするというものです。
セッションフィクセイション攻撃の流れを以下に示します。
@ターゲットとなるWEBサイトでセッションIDを入手
↓
A入手したセッションIDを含むURLをリンク先としてフィッシングメールをユーザへ送付
↓
Bユーザがリンクをクリックすると、不正セッションIDを使ってターゲットサイトにログイン
↓
Cターゲットサイトで正規ユーザになりすまし、不正な操作を行う
有効な対策として、URL Rewriting機能を無効にすることが考えられます。
|
スポンサードリンク
|
|
|