平成29年 春期 情報処理安全確保支援士 午前II 問5

セッションIDの固定化(Session Fixation)攻撃の手口はどれか。

 ア  HTTPS通信でSecure属性がないCookieにセッションIDを格納するWebサイトにおいて、HTTP通信で送信されるセッションIDを悪意のある者が盗聴する。
 イ  URLパラメタセッションIDを格納するWebサイトにおいて、Refererによってリンク先のWebサイトに送信されるセッションIDが含まれたURLを、悪意のある者が盗用する。
 ウ  悪意のある者が正規のWebサイトから取得したセッションIDを、利用者のWebブラウザに送り込み、利用者がそのセッションIDでログインして、セッションがログイン状態に変わった後、利用者になりすます。
 エ  推測が容易なセッションIDを生成するWebサイトにおいて、悪意のある者がセッションIDを推測し、ログインを試みる。


答え ウ


解説
セッション固定化攻撃は、通常のWebアプリケーションでは、セッションIDはログインしてから発行されるものであるが、一部のWebアプリケーションではログイン前にセッションIDを発行するものがあり、システムはログイン以降もそのセッションIDを使う。
セッション固定攻撃はこういったWebサイトの利用者のログイン前に攻撃者がセッションIDを指定することでログイン後の状態のWebサイトに攻撃を行うことが可能になる。


キーワード
・セッションID

キーワードの解説
  • セッションID(Session IDentifier)
    Webアプリケーションなどで、アクセス中のユーザの識別や行動を管理(セッション管理)のために付与される固有の識別情報で、ユーザがアクセスしたりログインした際に発行され、一定時間アクセスが無かったりログアウトすると破棄されます。

もっと、「セッションID」について調べてみよう。

戻る 一覧へ 次へ