既に確立されているセッションをハイジャックするわけではなく、ターゲットユーザに対して攻撃者が取得したセッションIDを含む不正なURLを送りつけることで意図的にセッションを確立させ、そのセッションをハイジャックするというもの。
「問題」
Q1 セッションフィクセイションとはどのような攻撃手法か
Q2 どのような脆弱性があるとこの手法が成立する可能性があるのか
Q3 セッションフィクセイションへの対策としてはどのようなものがあるか
「解答」
Q1
攻撃者があるサイトから取得したセッションIDを含む不正なURLを送りつけ、そのURLに
ターゲットユーザがそのリンクをクリックし、あるサイトにログインする。
攻撃者も同じセッションIDを使ってターゲットサイトへのアクセスに成功し不正な操作を
行う手法。
Q2
セッションIDを容易に入手可能
(会員制サイト等で、ログイン画面を表示した時点でセッションIDが発行される使用となっている。)
ターゲットとなるWebサーバでURL Rewriting機能が有効になっている
Q3
URL Rewriting機能を無効にする
ユーザがログインに成功した後で新たにセッションIDを発行するようにする