戻る
一覧へ
次へ
セッションIDの固定化(Session Fixation)攻撃の手口はどれか。
| ア | HTTPS通信でSecure属性がないCookieにセッションIDを格納するWebサイトにおいて、HTTP通信で送信されるセッションIDを悪意のある者が盗聴する。 |
| イ | URLパラメータセッションIDを格納するWebサイトにおいて、Refererによってリンク先のWebサイトに送信されるセッションIDが含まれたURLを、悪意のある者が盗用する。 |
| ウ | 悪意のある者が正規のWebサイトから取得したセッションIDを、利用者のWebブラウザに送り込み、利用者がそのセッションIDでログインして、セッションがログイン状態に変わった後、利用者になりすます。 |
| エ | 推測が容易なセッションIDを生成するWebサイトにおいて、悪意のある者がセッションIDを推測し、ログインを試みる。 |
答え ウ
【解説】
セッション固定化攻撃は、通常のWebアプリケーションでは、セッションIDはログインしてから発行されるものであるが、一部のWebアプリケーションではログイン前にセッションIDを発行するものがあり、システムはログイン以降もそのセッションIDを使う。
セッション固定攻撃はこういったWebサイトの利用者のログイン前に攻撃者がセッションIDを指定することでログイン後の状態のWebサイトに攻撃を行うことが可能になる。
【キーワード】
・セッションID