-
- いいね!40
Ikeda Masakazu
@ikepyon
セッションハイジャックは盗み出したセッションIDでもいいし、セッションフィクセイションを使って指定したセッションIDを使ってセッションを乗っ取る攻撃手法
2012-12-11 18:23:03
Ikeda Masakazu
@ikepyon
セッションアダプションの脆弱性があるとわざわざ有効なセッションIDを取得してセッションIDを設定してという手間が減るだけで、セッションアダプションではないセッションフィクセイションの脆弱性とリスクは大きく変わんないと思う
2012-12-11 18:48:09
Ikeda Masakazu
@ikepyon
セッションIDが推測可能な脆弱性は重大な脅威(利用者を罠にひっかけなくてもセッションハイジャックが可能になる)だけど、セッションアダプションはそこまで重大な脅威じゃない(利用者を罠にひっかけないといけない)と思うけどな
2012-12-11 19:19:03
Ikeda Masakazu
@ikepyon
そもそもセッションハイジャックはセッションIDを攻撃者が知ることが出来れば有効な攻撃であって、セッション管理に問題があるかどうかは関係ないと思うんだが。
2012-12-11 19:32:24
Ikeda Masakazu
@ikepyon
セッション管理に問題がなくてもセッションIDがもれてしまえば(例えば使っているPCにマルウェアが入っていて、セッションIDを攻撃者が知ることが出来るような場合)セッションハイジャック攻撃は可能
2012-12-11 19:32:31
Ikeda Masakazu
@ikepyon
セッションIDを攻撃者が知る方法として、セッションフィクセイションを使うと、攻撃者が知っている(攻撃者が指定した)セッションIDを被害者に使わせるということができるというだけ
2012-12-11 19:34:16
Ikeda Masakazu
@ikepyon
だから、セッションフィクセイションやセッションアダプションの脆弱性がないアプリでもセッションハイジャックの攻撃は可能なんだが、その辺わかってんのかな?
2012-12-11 19:34:59
Yasuo Ohgaki (大垣靖男)
@yohgaki
@ikepyon それは疲れますね。。もうそろそろ、そういう定義を詳しく解説する時代は終わった、と思っていたのですが。。
2012-12-11 19:49:41
Yasuo Ohgaki (大垣靖男)
@yohgaki
@ockeghem これ http://t.co/Wdbaeq8g ですが、ミスリードな書き方にしか思えないので確認です。徳丸さんは、セッションアダプション脆弱性を修正しなくてよい、と考えているのでしょうか?
2012-12-11 20:04:22
Yasuo Ohgaki (大垣靖男)
@yohgaki
あれ、タイトルこれだったっけ。好意的に読み過ぎていて「セッションアダプションがなくてもセッションフィクセイション攻撃は可能」と書いてあるのに「セッションアダプションがなくてもハイジャック攻撃は可能」と思ってた。根本的に間違えてたのか。
2012-12-11 20:07:47
徳丸 浩
@ockeghem
セッションアダプションはない方が望ましいが、絶対にあっては駄目という程ではないと思います RT @yohgaki: @ockeghem …ミスリードな書き方にしか思えないので確認です。徳丸さんは、セッションアダプション脆弱性を修正しなくてよい、と考えているのでしょうか?
2012-12-11 20:08:51
Yasuo Ohgaki (大垣靖男)
@yohgaki
@ockeghem 徳丸さん、タイトルが間違ってますよ。「セッションアダプションがなくてもセッションフィクセイション攻撃は可能」タイトルを間違えてるとは思ってませんでした。セッションフィクセイションでなくセッションハイジャックです。
2012-12-11 20:13:26
Yasuo Ohgaki (大垣靖男)
@yohgaki
@ockeghem WebプラットフォームとしてはセッションID管理にアダプション脆弱性があるのは一発NGだと思いますよ。影響を受けた場合の被害は大きいのですから、直して当たり前だと思います。セキュリティ専門家としての発言なら問題ありだと思いますが。
2012-12-11 20:17:00