勉強前イメージ
セッションを盗んで情報を取る的な?
調査
セッションハイジャック とは
英語で Session Hijacking と書き、ログイン中の利用者のセッションIDを不正に取得してセッションを乗っ取る攻撃になります。
ログインIDやパスワードを知らなくてもアカウント乗っ取りが可能になります。
そもそもセッションとは
セッションとはwebサイトにアクセスして、ログインを行いログアウトを行うまでのやり取りのことで、アクセスの解析でも使われます。
一つのwebサイトの中で複数のページにアクセスを行い、ログアウトしたとすると
複数のページを見た一連の流れを1セッションと考えます。
セッションとはセッションIDをサーバに保持して、同じセッションIDであれば複数のページで同じ情報を共有できるものです。
例えばショッピングサイトにログインして、いくつかのページを遷移してカートに買うものを入れたとします。
そのカートに入れた情報を保持するのがセッションの機能になります。
セッションIDはログイン時に付与されて、同じセッションIDであれば上記のように同じ情報を保持します。
よってセッションハイジャックとして利用者のセッションIDを乗っ取られると
個人情報などが見えてしまうおそれがあります。
セッションハイジャックの原因
- セッションIDの窃盗
セッションIDが類推し易いものの場合は解析して不正利用されることがあります。
また、総当たり攻撃やツールを使った攻撃で簡単に乗っ取りされてしまいます。
- webアプリケーションの脆弱性
webアプリケーションの脆弱性でwebアプリケーションを改ざんされセッションIDを見られてしまい、乗っ取りされてしまうことがあります。
- セッションIDの固定化
セッションフィクセーションといってセッションIDを攻撃者が固定化してそれを利用者が使用するという方法もあります。
セッションハイジャックの例
- クロスサイトスクリプティングによるセッションハイジャック
管理者がクロスサイトスクリプティングによってセッションを盗むコードが含まれているURLをクリックしたことで管理者権限のセッションを奪われてしまいました。
勉強後イメージ
確かにセッションを盗まれたら、なりすましもされるし個人情報(クレカとか住所とか)も丸見えになってしまう・・・
参考
-セッションハイジャック【Session Hijacking】とは|図でわかる脆弱性の仕組み
-セッションハイジャックとは?セッションIDを利用したなりすまし