JavaScriptをがんばるブログ

JavaScript関連で日々気になった事を書いていきます。今はReactを専門としています。

セッション固定攻撃を防ぐ方法

セッション固定攻撃とは?

IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第4章 セッション対策:セッション乗っ取り:#4 セッションIDのお膳立て

攻撃者が発行したsession idを被害者に使わせる方法

  1. ダミーページからGETクエリ経由でセット
    (PHP限定 PHPSESSID=somesessionid)
  2. Cookie Monsterというブラウザの脆弱性
  3. XSSでJSからcookieに埋め込む

1はPHP5.5.2以降の使用で対策可能。
2は脆弱性のあるブラウザを使用しない事で対策可能。
3はcookieにhttp-only属性を付与する事で対策可能。