セッションID固定化攻撃

セッションID固定化攻撃は「セッションIDの強制」、「セッションフィクセーション」とも別称されている、セッション乗っ取りの手口の一つです。

Webアプリケーションエンジン(処理機能)の脆弱性を突いた攻撃で、ブラウザがサーバに不正なセッションIDを送信、サーバ側にそれら不正なセッションIDが有効であると判断し、許可させる手法です。

セッションID固定化攻撃への対策としては、正規のユーザによるログインが成立した際に新たなセッションIDを発行することで、既存のセッションIDを無効化するセッションIDの付け替えが有効です。

 

HTML HTML HTML

UTM導入サービス
お問い合わせ 045-311-6820 セキュリティに関するお問い合わせ 無料相談受付中
PageTop