セッションハイジャックは盗み出したセッションIDでもいいし、セッションフィクセイションを使って指定したセッションIDを使ってセッションを乗っ取る攻撃手法
2012-12-11 18:23:03セッションアダプションの脆弱性があるとわざわざ有効なセッションIDを取得してセッションIDを設定してという手間が減るだけで、セッションアダプションではないセッションフィクセイションの脆弱性とリスクは大きく変わんないと思う
2012-12-11 18:48:09セッションIDが推測可能な脆弱性は重大な脅威(利用者を罠にひっかけなくてもセッションハイジャックが可能になる)だけど、セッションアダプションはそこまで重大な脅威じゃない(利用者を罠にひっかけないといけない)と思うけどな
2012-12-11 19:19:03そもそもセッションハイジャックはセッションIDを攻撃者が知ることが出来れば有効な攻撃であって、セッション管理に問題があるかどうかは関係ないと思うんだが。
2012-12-11 19:32:24セッション管理に問題がなくてもセッションIDがもれてしまえば(例えば使っているPCにマルウェアが入っていて、セッションIDを攻撃者が知ることが出来るような場合)セッションハイジャック攻撃は可能
2012-12-11 19:32:31セッションIDを攻撃者が知る方法として、セッションフィクセイションを使うと、攻撃者が知っている(攻撃者が指定した)セッションIDを被害者に使わせるということができるというだけ
2012-12-11 19:34:16だから、セッションフィクセイションやセッションアダプションの脆弱性がないアプリでもセッションハイジャックの攻撃は可能なんだが、その辺わかってんのかな?
2012-12-11 19:34:59@ikepyon それは疲れますね。。もうそろそろ、そういう定義を詳しく解説する時代は終わった、と思っていたのですが。。
2012-12-11 19:49:41@ockeghem これ http://t.co/Wdbaeq8g ですが、ミスリードな書き方にしか思えないので確認です。徳丸さんは、セッションアダプション脆弱性を修正しなくてよい、と考えているのでしょうか?
2012-12-11 20:04:22あれ、タイトルこれだったっけ。好意的に読み過ぎていて「セッションアダプションがなくてもセッションフィクセイション攻撃は可能」と書いてあるのに「セッションアダプションがなくてもハイジャック攻撃は可能」と思ってた。根本的に間違えてたのか。
2012-12-11 20:07:47セッションアダプションはない方が望ましいが、絶対にあっては駄目という程ではないと思います RT @yohgaki: @ockeghem …ミスリードな書き方にしか思えないので確認です。徳丸さんは、セッションアダプション脆弱性を修正しなくてよい、と考えているのでしょうか?
2012-12-11 20:08:51@ockeghem 徳丸さん、タイトルが間違ってますよ。「セッションアダプションがなくてもセッションフィクセイション攻撃は可能」タイトルを間違えてるとは思ってませんでした。セッションフィクセイションでなくセッションハイジャックです。
2012-12-11 20:13:26@ockeghem WebプラットフォームとしてはセッションID管理にアダプション脆弱性があるのは一発NGだと思いますよ。影響を受けた場合の被害は大きいのですから、直して当たり前だと思います。セキュリティ専門家としての発言なら問題ありだと思いますが。
2012-12-11 20:17:00