2006.1.17
セッション・ハイジャックとは
セッション(WWWにおけるアクセス単位のこと)を管理するセッションIDやセッション・クッキー(セッション管理に使用するためのクッキー)を盗むことにより、悪意の者が、別のユーザーになりすまし、そのユーザーが使用するマシンとは別のコンピューターからインターネットにアクセスするという不正アクセスの手口、またはそうした危険性そのものを指す。
例えば、セッションIDが類推可能な規則的な文字列であったり、セキュアでない通信経路で盗聴されたりすると、悪意の者にセッション自体を横取りされる可能性がある。セッションが盗まれると、そのセッションを利用していたユーザーになりすましたアクセスが行えるため、個人情報が盗まれたり、コンピュータに侵入されたりする危険性がある。
チエ:これは不正アクセスの手口として注意が呼びかけられている「Webアプリケーションの脆弱性」を突く攻撃の一つね。
イッセイ:Web管理者としてセッション・ハイジャックを防ぐには、類推が難しいセッションIDやクッキーを生成することや、セッションIDやクッキーの有効期間を短くすることが重要です。また、重要な通信ではIPSecやSSLを利用するなどの対策も有効です。
関連記事
33人中、28人の方が、「この記事が参考になった」と投票しています。
トラックバックURL:http://blog.hitachi-system.co.jp/hsadmin/mt-tb.cgi/82
【セッション・ハイジャックとは】へのトラックバック
翔泳社刊『テクニカルエンジニア情報セキュリティ(2006年度版)』の第2章を読み終わりましたが、 知らない用語、理解できていない用語がたくさん出てきて、ちょっと......
2006年02月01日From 数学教師、情報処理技術者の資格取得をねらう!
VBScript | Windows XP SP2 | Windows 2000 | Google バズ | 違法コピー | 著作権 | 不正コピー | Warez | 情報セキュリティの日 | セキュリティいろはかるた大会 | ブラウザー・ハイジャッカー | ファイル共有ソフト | タコイカウィルス | ヤフー | Yahoo!JAPAN | ユミコの冬季セキュリンピック | ハイチ地震 | ウィルス | ドライブバイダウンロード | 年末年始 | ZeuS | Zbot | メタモーフィック型 | ミューテーション型 | ポリモーフィック型 | ステルス技術 | KOOBFACE | JCMVP | ダウンローダー型 | バッファアンダーラン
