HTTP クッキーのセッション固定攻撃
high Nessus プラグイン ID 45084
Language:
概要
リモート Web アプリケーションは、セッション固定攻撃に脆弱です。説明
クロスサイトスクリプティングに類似する脆弱性を通じてクッキーを操作することにより、攻撃者がセッションクッキーを設定する可能性があります。正当なユーザーがアプリケーションからログアウトし、そのユーザーが再度ログインした後に、クッキーが変更されず、攻撃者がオープンセッションを盗み、ユーザーになりすます可能性があります。ソリューション
- セッションクッキーが正常な認証の後に再生成されるように、アプリケーションを修正します。- クッキーの操作の欠陥を修正します。