セッションIDの固定化(Session Fixation)攻撃の手口はどれか。
答え ウ
【解説】 セッション固定化攻撃は、通常のWebアプリケーションでは、セッションIDはログインしてから発行されるものであるが、一部のWebアプリケーションではログイン前にセッションIDを発行するものがあり、システムはログイン以降もそのセッションIDを使う。 セッション固定攻撃はこういったWebサイトの利用者のログイン前に攻撃者がセッションIDを指定することでログイン後の状態のWebサイトに攻撃を行うことが可能になる。
【キーワード】 ・セッションID
戻る 一覧へ 次へ