勉強前イメージ
セッションIDを固定化するやつって ここ でやったけどそれ以外わからん
調査
セッションフィクセーション とは
英語で session fixation と書き、セッションハイジャックの手法の一つです。
webサイトの正規ユーザのセッションIDを乗っ取って、なりすます攻撃手法になります。
正規ユーザはwebサイトのログインする際にセッションIDを発行しますが、
悪意ある攻撃者がwebサイトからセッションIDを取得、正規ユーザに対して強制的にセッションIDを取得させるトラップを仕掛けて
正規ユーザがログインを行うと、乗っ取りが可能になりなりすましが成立します。
セッションフィクセーションの対策
- [サーバ側] ログイン後にセッションを新規に作成
セッションフィクセーションはログイン時のセッションを固定化する攻撃なので、
ログイン後にセッションIDを再度発行することで対策が可能になります。
攻撃者が用意したIDと別のIDに変わればなりすましができなくなります。
- [サーバ側] セッションID以外に認可した証明の情報を付与
セッションID以外に別の鍵のようなものを用意することでなりすましを防止することができます。
例えばセッションIDを使われたとしても、もう一つ鍵を用意できなければなりすますすることができません。
- [ユーザ側] 不審なURLをクリックしない
セッションフィクせーションは攻撃者が用意したセッションIDが含まれたURLをクリックされることから始まるので
そもそも不審なURLはクリックせずに公式サイトから直接ログインするようにすることが対策になります。
勉強後イメージ
セッションを取られたとしても、再度サーバ側で付与することで乗っ取りできないようにするのか。。。