アカウント名:
パスワード:
1.攻撃者がシステムにアクセスし、セッション ID を取得する。ログインしていないがセッション ID は発行される。2.攻撃者は、正規ユーザがそのセッション ID を使ってログインするように仕向ける3.正規ユーザがそのセッション ID でログインすると、そのセッションは「ログイン済み」となる
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
Session Fixationってなに? (スコア:2, すばらしい洞察)
というわけでリンク
用語「セッション固定攻撃」 [bakera.jp]
Re:Session Fixationってなに? (スコア:2, 参考になる)
これって、「ログインする前にセッションIDを発行する」事が脆弱性なんじゃなくて、「2」が可能になる仕組みが脆弱性なのでは?
セッションIDを先に発行していても、「2」が出来なければ問題ない訳ですよね。
それとも、「2」の手法に関しては、周知の防ぎようの無い手段で可能なのかな?
Re:Session Fixationってなに? (スコア:0)
で、その攻撃方法としてよく挙げられるのが下記の脆弱性を利用したものなので、脆弱性に脆弱性が絡んで話がややこしくなるというわけです。
・URLからセッションIDを指定する(フレームワークなどのSession Adoption脆弱性)
・広範囲のドメインにばら撒かれるクッキーを使う(ブラウザのCookie Monsterバグ)