TOP
>
システムトレンド
> 保険的対策
安全なWebサイトの作成ガイド
第3回:セッション・ハイジャック、パス名パラメータを悪用したファイル参照、メールの第三者中継
著者:
独立行政法人 情報処理推進機構セキュリティセンター
2006/2/21
前のページ
1
2
3
4
次のページ
保険的対策
保険的対策には表2にあげた2つがあります。
セッション管理情報を固定値にしない
セッション管理情報をCookieにセットする場合、有効期限の設定に注意する
表2:セッション・ハイジャックの保険的対策
それではそれぞれについて解説します。
セッション管理情報を固定値にしない
これは、セッション・ハイジャックが行われる機会を低減する対策です。
利用者に発行するセッション管理情報が固定値の場合、この情報が攻撃者に入手されると、時間の経過に関係なく、いつでもセッション・ハイジャックを行われてしまいます。セッション管理情報は、利用者のログインごとに新しく発行し、固定値にしないようにしてください。
セッション管理情報をCookieにセットする場合、有効期限の設定に注意する
これは、Cookieが盗まれてしまう可能性を低減する対策です。
Cookieは有効期限が過ぎるまでブラウザに保持されるため、ブラウザの脆弱性を悪用するなど何らかの方法でCookieを盗むことが可能な場合、その時点で保持されていたCookieが盗まれてしまう可能性があります。Cookieを発行する場合は、有効期限の設定に注意してください。
例えば、Cookieをブラウザに残す必要が無い場合は、有効期限の設定(expires=)を省略することにより、発行したCookieをブラウザ終了後に破棄させます。
以上の対策により、セッション・ハイジャックが行われる可能性を低減することができます。セッション管理に関する情報ついては、次の資料もご参照ください。
参考URL
セッション管理
http://www.ipa.go.jp/security/awareness/administrator/
secure-web/chap6/6_session-1.html
セッション管理の留意点
http://www.ipa.go.jp/security/awareness/administrator/
secure-web/chap6/6_session-2.html
前のページ
1
2
3
4
次のページ
安全なウェブサイトの作り方 - ウェブアプリケーションのセキュリティ実装とウェブサイトの安全性向上のための取り組み
2006年1月31日にIPAは、ウェブサイト運営者がウェブサイト上で発生しうる問題に対して、適切な対策ができるようにするため、「安全なウェブサイトの作り方」を取りまとめ公開いたしました。
本記事は、その報告書の転載です。詳しい内容に関しましては、以下のURLをご参照ください。
安全なウェブサイトの作り方
http://www.ipa.go.jp/security/vuln/documents/2005/website_security.pdf
脆弱性関連情報に関する届出について
http://www.ipa.go.jp/security/vuln/report/index.html
IPA(独立行政法人情報処理推進機構)
http://www.ipa.go.jp/index.html
IPA/ISEC(独立行政法人情報処理推進機構セキュリティセンター)
http://www.ipa.go.jp/security/index.html
著者プロフィール
独立行政法人 情報処理推進機構セキュリティセンター
情報処理推進機構セキュリティセンター(IPA/ISEC)は、わが国において情報セキュリティ対策の必要性・重要性についての認識を啓発・向上し、具体的な対策実践情報・対策手段を提供するとともに、セキュアな情報インフラストラクチャ整備に貢献することをミッションとしています。
INDEX
第3回:セッション・ハイジャック、パス名パラメータを悪用したファイル参照、メールの第三者中継
セッション管理の不備
保険的対策
パス名パラメータの未チェック/ディレクトリ・トラバーサル
メールの第三者中継