-
- いいね!40
徳丸 浩
@ockeghem
徳丸浩 - Google+ - ぼくの考えたさいきょうの「厳密なセッション管理」PHPセッションアダプションに関連して、大垣さんの... https://t.co/1YI9vYvO
2012-12-13 12:56:45
Yasuo Ohgaki (大垣靖男)
@yohgaki
@ockeghem これ、返信し忘れてました。セッションDBの分割とはセッションデータベースを分割する事です。DNSポイズニングは別ですがパターン3の変形でドメイン、パスでアプリ・ユーザ分割している場合、攻撃対象のDBからIDを作れないと攻撃できません。
2012-12-13 13:21:07
徳丸 浩
@ockeghem
私のPoCでは攻撃対象のアプリケーションから直接セッションIDを得るので分割は関係ありません RT @yohgaki: @ockeghem セッションデータベースを分割する事です・・ドメイン、パスでアプリ・ユーザ分割している場合、攻撃対象のDBからIDを作れないと攻撃できません。
2012-12-13 15:01:47
徳丸 浩
@ockeghem
徳丸は「サポートライフサイクルポリシー入門」と題してショートトークします。まだお席には余裕があるようですよw #WASNIGHT2012 Web AppSec Night 2012 : ATND http://t.co/pWY6vJyn
2012-12-13 15:06:37
u6k_yu1
@u6k_yu1
攻撃手法の実例/セッションアダプションがなくてもセッションフィクセイション攻撃は可能 http://t.co/FcbYRyB2
2012-12-13 18:00:15
Ikeda Masakazu
@ikepyon
セッションフィクセイションってセッションを開始するタイミングとセッションIDを発行して有効にするタイミングが違うと発生するんじゃね?
2012-12-13 18:27:41
Ikeda Masakazu
@ikepyon
それらが一緒だと、受け取ったセッションIDを使っていいのか、新たにセッションを開始したいのかがわからなくなる?なんか違うな
2012-12-13 18:52:04
Yasuo Ohgaki (大垣靖男)
@yohgaki
@ockeghem 同じアプリ・データベースの場合はそうです。アプリが分割されている場合(ホスティングなどでよくある構成)では保護できます。保護と言うのは別アプリの影響を受けないう意味で。これだけでも随分良いことだと思います。
2012-12-13 19:25:04
Moriyoshi Koizumi
@moriyoshit
「アダプション対策だけで大丈夫な場合もあるし、だめな場合もある」みたいなスネークマンショーなのかこれ。
2012-12-13 23:48:45
Yasuo Ohgaki (大垣靖男)
@yohgaki
セッションID管理は結局どうすれば良いのか?: 脆弱性やセキュリティ対策について技術的な話ばかりしていたので「それで結局どうすれば良いの?」と思われた方も多いと思います。簡単にまとめます。漏れや追記した方が良い事などがあった... http://t.co/6c8IPqNI
2012-12-14 07:31:50
kenjis
@kenji_s
@yohgaki session.cookie_httponlyの設定が逆です。「デフォルト有効。無効にする」→「デフォルト無効。有効にする」
2012-12-14 07:50:49
Yasuo Ohgaki (大垣靖男)
@yohgaki
@kenji_s @m_sudo cookie_httponlyの有効・無効が反対でした。ありがとうございました!
2012-12-14 08:49:43
Yasuo Ohgaki (大垣靖男)
@yohgaki
最近、細かい技術的な話ばかりだったので、PHPのセッション管理は結局どうすればよいのか?ブログを書きました。 http://t.co/vwaej9c1 http://t.co/SRR250TK
2012-12-14 11:09:08