固定された HTTP セッションクッキー

medium Nessus プラグイン ID 46201

概要

リモート Web アプリケーションは、セッション固定攻撃に脆弱である可能性があります。

説明

リモート Web アプリケーションはクッキーを使用して、認証されたユーザーを追跡します。セッションクッキーが認証前に既に存在する場合、ログインに成功した後も不変のまま残ります。つまり、サーバー側の変数のみが更新されます。

セッションクッキーは、セキュアな Web アプリケーションでは予測不能だと考えられています。HTTP クッキーを操作することが可能な場合(例えば、クライアント側の JavaScript を注入することで)、攻撃者は pseudo-random ジェネレーターを破る必要がなく、Web アプリケーションは「セッション固定」攻撃に対して脆弱です。

ソリューション

セッションクッキーが正常な認証の後に再生成されるように、アプリケーションを修正します。

参考資料

https://en.wikipedia.org/wiki/Session_fixation

https://www.owasp.org/index.php/Session_Fixation

http://phpsecurity.org/ch04.pdf

プラグインの詳細

深刻度: Medium

ID: 46201

ファイル名: fixed_session_cookies.nasl

バージョン: 1.10

タイプ: remote

ファミリー: Web Servers

公開日: 2010/4/30

更新日: 2018/11/15

サポートされているセンサー: Nessus

リスク情報

CVSS v2

リスクファクター: Medium

基本値: 5.1

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P

CVSS v3

リスクファクター: Medium

基本値: 5.6

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L