弱いセッション管理が検出されました

high Web App Scanning プラグイン ID 112794

Language:

概要

弱いセッション管理が検出されました

説明

Web セッションは、特定の時間内にユーザーが発行した HTTP トランザクションのセットです。Web アプリケーションは、セッションを使用して各ユーザーに関する情報を保持し、ユーザーのアクティビティを追跡したり、適切なアクセス権とアクセス許可を定義したりします。各セッションには、ユーザーを HTTP トラフィックにバインドするためにアプリケーションによって定義された識別子 (トークンまたは ID) があり、認証されたセッションに対してアプリケーションが使用する最も強力な認証方法と一時的に同等のものとなります。

セッション管理メカニズムを標的とすることで、攻撃者は他のユーザーのセッションをハイジャックしてユーザーになりすまし、アプリケーションで権限を使用したり、機密情報にアクセスしたりする可能性があります。

ソリューション

Web アプリケーションでは、セッション偽造、予測可能性、または再利用を回避するために、強力なセッション管理を実施する必要があります。セッション IDは、有効なセッションを決定するブルートフォース攻撃を防ぐのに十分な長さ (少なくとも 128 ビット) である必要があります。これは、アプリケーションの現在のセッションコンテキストで一意である必要があり、そのエントロピーは、推測攻撃または統計分析を回避するために十分にランダム (少なくとも 64 ビット) である必要があります。最後に、セッションには有効期限があり、ログアウト、アイドル時間、または絶対タイムアウトの後に、セッションの ID を無効にする必要があります。