セッション管理の脆弱性と対策

●セッション管理の脆弱性


①パケットの盗聴によってセッション管理情報が盗まれる可能性がある(HTTPの場合)


  URLパラメタ、hiddenフィールド、クッキーいずれもHTTPの場合盗聴される可能性あり


②セッションIDに単純な文字列を用いているため推測、改ざんされ、他のユーザの

 情報等が漏洩する可能性がある


③GETメソッドでURLパラメタを使用して詳細なセッション管理情報をやり取り

  している場合は漏洩する可能性がある


④Refererのログから他のWebサイト管理者にセッション情報が漏洩する可能性がある


⑤hiddenフィールドの改ざんにより不正な処理を実行されてしまう可能性がある


⑥XSSの脆弱性により、クッキーにセットされたセッション管理情報が盗まれて

  悪用される可能性がる。



●セッション管理の脆弱性への対策


・HTTPSによって通信する


・個人情報等の重要な情報は、Webサーバ側で管理し、URLパラメタ、

 クッキー、hiddenフィールドにはセッションIDしか含めないようにする


・セッションIDには十分な長さをもった乱数やハッシュ値を用いる


・GETメソッドで重要なデータを渡したりしない


・クッキーの有効期限は短く、有効範囲は可能な限り狭くする


・入力データのサニタイジングを確実に行ない、XSSの脆弱性を残さない




HTTPで用いられる基本的な技術

●Webサーバとクライアント間のデータの受け渡し手段


 ①GETメソッド


  入力データやパラメタをURLの後ろに付加して送信する方式

  送信したデータは、環境変数「QUERY_STRING」に格納される

  URLから入力データを読み取られたり、改ざんされたりする可能性がある

  Refererログによって入力データが漏えいする可能性がある

  URLエンコードした状態で255文字


 ②POSTメソッド


  入力データやパラメタをサーバの標準入力を通じて渡す方式

  送信データに制限はない


●URLエンコード


  入力データをURLで使用可能な文字に変換する処理


●Referer


  RefererとはHTTPヘッダに含まれる情報であり、あるWebページにアクセスした際に、

  どのリンクを辿ってきたのか確認できるようにリンク元のURLがセットされる。


  Refererにはパラメタも含めたURLがセットされているため、セッション管理情報や

  フォームから入力データをURLパラメタにセットしている場合には、Refererのログ

  からそれらの情報が漏洩する可能性がある


●クッキー


  クッキーとは、Webサーバがアクセスしてきたクライアントに対してブラウザを通じて

  一時的にデータを書き込むことで相手を識別したりセッションの状態を管理したりする

  仕組みである。

  クッキーはWebサーバがHTTPヘッダにセットすることによって発行され、以降、

  そのサーバへのアクセス時には毎回自動的にHTTPヘッダに付加される


  ひとつのクッキーに最大4096バイトのデータを記録可能


  クッキーの属性


  有効期限 expires

  有効なドメイン domain

  有効なディレクトリ path

  セキュア属性 secure



●セッションIDの受け渡し手段として用いられる手法


 URLパラメタ

 INPUTタグのhiddenフィールド

 クッキー





午後対策⑧

会社から貸与するノート型パソコンにおいて、ウィルス感染の防止及び機密情報

の漏洩防止の観点から考えられる禁止規定をあげよ


また、個人所有のパソコンに言及したウィルス感染の防止及び機密情報の漏洩防止の

禁止規定もあげよ。








解答


ノート型パソコンに他のソフトウェアのインストールや、復号した情報を保存することを禁止する


個人所有のパソコンとノート型パソコン間において、ファイルを相互にコピーすることを禁止する