セッション固定

medium Web App Scanning プラグイン ID 98102

Language:

概要

セッション固定

説明

HTTP 自体はステートレスプロトコルです。したがって、サーバーは、どのクライアントがどのリクエストを実行し、どのクライアントが認証済みまたは未認証であるかを判断できません。

ヘッダー内で HTTP Cookie を使用すると Web サーバーは個々のクライアントを識別できるため、有効な認証を保持しているクライアントと保持していないクライアントを特定できます。これらは、セッション Cookie またはセッショントークンとして知られています。

クライアントが互いのセッショントークンを推測できないようにするには、割り当てられた各セッショントークンを完全にランダムにし、サーバーとのセッションが確立されるたびに変更する必要があります。

セッション固定は、クライアントが独自のセッショントークン値を指定でき、認証が成功した後にサーバーによってセッション Cookie の値が変更されない場合に実行されます。また、ユーザーが認証された回数とは無関係に、セッショントークンもユーザーに対して変更されないままになることがあります。

サイバー犯罪者は、細工されたURLリンクをリンク内の所定のセッショントークンで送信することで、この機能を悪用します。その後、サイバー犯罪者は被害者がログインして認証されるのを待ちます。成功すると、サイバー犯罪者は有効なセッション ID を知っているため、被害者のセッションにアクセスできます。

スキャナーは、独自のセッショントークンを設定できることを検出しました。

ソリューション

最も重要な修正アクションは、サーバーがクライアントから提供されたデータをセッショントークンとして受け入れないようにすることです。
さらに、クライアントのセッショントークンは、認証中など、アプリケーションフローの特定の主要な段階で変更する必要があります。こうすれば、クライアントが独自の Cookie を設定できる場合でも、認証されたセッションに Cookie が残ることはありません。