2015-08-27 セッション固定攻撃を防ぐ方法 HTTP セッション固定攻撃とは? IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第4章 セッション対策:セッション乗っ取り:#4 セッションIDのお膳立て 攻撃者が発行したsession idを被害者に使わせる方法 ダミーページからGETクエリ経由でセット (PHP限定 PHPSESSID=somesessionid) Cookie Monsterというブラウザの脆弱性 XSSでJSからcookieに埋め込む 1はPHP5.5.2以降の使用で対策可能。 2は脆弱性のあるブラウザを使用しない事で対策可能。 3はcookieにhttp-only属性を付与する事で対策可能。