TOP
>
システムトレンド
> セッション管理の不備
安全なWebサイトの作成ガイド
第3回:セッション・ハイジャック、パス名パラメータを悪用したファイル参照、メールの第三者中継
著者:
独立行政法人 情報処理推進機構セキュリティセンター
2006/2/21
1
2
3
4
次のページ
セッション管理の不備
Webアプリケーションの中には、利用者を識別するための情報を発行し、セッション管理を行っているものがあります。
このセッション管理情報の発行や管理に不備がある場合、悪意のある人に利用者のセッション管理情報を不正に取得され、その利用者への成りすましにつながる可能性があります。この問題を悪用した攻撃手法は、一般に「セッション・ハイジャック」と呼ばれています。
図1:セッション管理の不備
セッション・ハイジャックが成立した場合、攻撃者は利用者に成りすまし、その利用者本人に許可されているすべての操作を不正に行われてしまいます。セッション・ハイジャックの対策として、次の内容をご検討ください。
根本的解決
根本的解決として表1にあげた2つがあります。
セッション管理情報を推測が困難なものにする
HTTPS通信で利用するCookieにはsecure属性を加える
表1:セッション・ハイジャックの根本的解決
それではそれぞれについて解説していきます。
セッション管理情報を推測が困難なものにする
これは、セッション管理情報が推測され、第三者に入手されてしまうことを回避する方法です。
セッション管理情報の生成規則が単純な場合、その値の推測を容易にしてしまいます。そして、推測したセッション管理情報を使ってWebページにアクセスすることで、セッション・ハイジャックが行われてしまう可能性があります。セッション管理情報の値にはランダムな数字や文字を与え、攻撃者の推測が困難なものにしてください。
HTTPS通信で利用するCookieにはsecure属性を加える
これは、盗聴によるCookieの不正取得を防止するための方法です。
Webサイトが発行するCookieには、secure属性と呼ばれる設定項目があり、これが設定されたCookieは、HTTPS通信のみで利用されます。
Cookieにsecure属性がない場合、HTTPS通信で発行したCookieは、経路が暗号化されていないHTTP通信でも利用されるため、このHTTP通信の盗聴によりCookie情報を不正に取得されてしまう可能性があります。HTTPS通信で利用するCookieにはsecure属性を必ず加えてください。また、HTTP通信でCookieを利用する場合は、HTTPSで発行するCookieとは別のものを発行してください。
参考URL
経路のセキュリティと同時にセキュアなセッション管理を
http://www.ipa.go.jp/security/ciadr/20030808cookie-secure.html
1
2
3
4
次のページ
安全なウェブサイトの作り方 - ウェブアプリケーションのセキュリティ実装とウェブサイトの安全性向上のための取り組み
2006年1月31日にIPAは、ウェブサイト運営者がウェブサイト上で発生しうる問題に対して、適切な対策ができるようにするため、「安全なウェブサイトの作り方」を取りまとめ公開いたしました。
本記事は、その報告書の転載です。詳しい内容に関しましては、以下のURLをご参照ください。
安全なウェブサイトの作り方
http://www.ipa.go.jp/security/vuln/documents/2005/website_security.pdf
脆弱性関連情報に関する届出について
http://www.ipa.go.jp/security/vuln/report/index.html
IPA(独立行政法人情報処理推進機構)
http://www.ipa.go.jp/index.html
IPA/ISEC(独立行政法人情報処理推進機構セキュリティセンター)
http://www.ipa.go.jp/security/index.html
著者プロフィール
独立行政法人 情報処理推進機構セキュリティセンター
情報処理推進機構セキュリティセンター(IPA/ISEC)は、わが国において情報セキュリティ対策の必要性・重要性についての認識を啓発・向上し、具体的な対策実践情報・対策手段を提供するとともに、セキュアな情報インフラストラクチャ整備に貢献することをミッションとしています。
INDEX
第3回:セッション・ハイジャック、パス名パラメータを悪用したファイル参照、メールの第三者中継
セッション管理の不備
保険的対策
パス名パラメータの未チェック/ディレクトリ・トラバーサル
メールの第三者中継