セッションハイジャック

書籍を読んで www.amazon.co.jp こちらの書籍を読んでWebアプリケーションを作る際に重要な要点を自分用としてアウトプットします。 書籍を読んで クッキー出力にまつわる脆弱性 クッキーの不適切な利用 クッキーに保存すべきでない情報 クッキーにデータを保存しないほうがよい理由 クッキーのセキュア属性不備 脆弱性が生まれる原因 対策 セキュア属性以外の属性値に関する注意 クッキー出力にまつわる脆弱性 Webアプリケーションではクッキーによるセッション管理が広く用いられているが、クッキーの扱い方次第で脆弱性が生まれる場合がある ○ クッキーはセッションIDの保管場所として利用すべき ×…

書籍を読んで セッション管理の不備 セッションハイジャック 概要 第三者がセッションIDを知る手段 セッションIDの推測 セッションIDの盗み出し セッションIDの盗み出しに悪用可能なアプリケーション脆弱性の例 セッションIDの強制 セッションIDを発行する箇所で発生する脆弱性 セッションハイジャックの影響 推測可能なセッションID 概要 攻撃手法と影響 ありがちなセッションID生成方法 推測可能なセッションIDに対する攻撃 脆弱性が生まれる原因 対策 URL埋め込みのセッションID 概要 攻撃手法と影響 セッションIDがURL埋め込みになる条件 RefererによりセッションIDが漏洩する条…

参考 『プロになるためのWeb技術入門』――なぜ，あなたはWebシステムを開発できないのか：書籍案内｜技術評論社 キーワード 動的コンテンツ生成 機能 説明 補足 CGI リクエスト受信時にプロセス起動 ×性能×HTML出力とロジック処理が混在 サーブレット 常駐デーモンがプログラム実行(Javaコードの中にHTMLを埋め込む) 〇性能×HTML出力とロジック処理が混在 JSP 常駐デーモンがプログラム実行(HTMLの中にJavaコードを埋め込む) 〇性能 ※phpはJSPと似てる。httpdに組み込まれたphpモジュールがphpコードを実行。別途プロセス起動せずhttpdプロセス内部で実行。…

こんにちは、すぐるです！ sugulogをお読みいただきありがとうございます！！ このブログは、「 過去の無知な自分に向けてわかりやすく説明するなら？？ 」を基準に書いています。 少しでもお役に立てれば幸いです。 今回は、プログラミング用語一覧ということで プログラミング用語さ~た行編 について簡単に解説します！！ その為このブログを読むことで、プログラミング用語について理解が深まるのはもちろん、何か困ったときのカンニングペーパーとして参考になります。 是非最後までご愛読ください。 今回は、 ・さ~た行 の順で解説していきます。 では早速、みていきましょう！！ ・サイン 三角関数(三角比)にお…

セッションの利用 テキストP.298 サーバー上に任意の値を保存できる仕組み（セッションファイルが作成され、値が記述されて残ります） セッションを利用 セッションを使う場合は、対象のすべてのページ先頭に「ession_start()関数」を記述する必要があります session_start()関数 session_start(); セッションの利用方法 値を設定 $_SESSION[ 変数名 ] = 値; 値を参照 $var = $_SESSION[ 変数名 ]; セッションの仕組みと安全性 セッションに保存された内容は、Webサーバー上にファイルとして保存される ユーザーのWebブラウザには…

ウクライナがサイバー攻撃を受けているというニュースを見て、戦争で使われるサイバー攻撃とはどういうものなのか気になったので調べてみた。 まず、サイバー攻撃とはネットワーク経由でシステムの破壊やデータの窃取、情報の改ざんなどを行うことである。サイバー攻撃の種類は数多くあるが、主に以下のようなものがある。 ・マルウェア（ワーム、バックドア、トロイの木馬、ボット）・SQLインジェクション・セッションハイジャック・DoS攻撃/DDoS攻撃・パスワードリスト攻撃・サプライチェーン攻撃・標的型攻撃・ゼロデイ攻撃・バッファオーバーフロー攻撃 ウクライナへは以下のようなサイバー攻撃が行われたと言われている。・ウ…

セッション ・セッションIDとは セッションの継続に必要 →セッションIDを毎回確認して、セッションを継続するか決めている 誰からのアクセスなのか、セッションIDによって判断する axiosだと、ヘッダーに入るようになってる ・セッションIDは超機密情報！！ セッションがばれると大変 ex）セッションハイジャック、セッションおしつけ… ・セッションIDに関する約束事 乱数にする！ サーバーに保存し、直接やり取りしない！ →やりとりの際には、セッションIDではなく、それに紐づいたセッションクッキーをやりとりする ▼セッションクッキーの実際のお姿 トークン ・トークンとは？ APIに対して、アクセ…

基本情報処理資格者試験 令和4年上期を受験する予定で勉強していくので、その記録になります。 ※各種テキストや過去問等を参考に記載しておりますが、入力ミスや解釈違い、年月経過による変化等を含め、記載内容の正確性・正当性は保証できかねます。あくまで参考程度にご覧いただけますと幸いです。 ↓続き・目次はこちらから↓

1. 各設問において、正しいものは1を、間違っているものは2を、該当設問の解答欄に記せ。 第1問 JPEG 形式では、ブロックノイズやモスキートノイズが発生する場合がある。 解答 1 JPEG 圧縮することで発生する場合がある。 第2問 h1 要素は、文法的には p 要素の内部に配置することができる。 解答 2 第3問 ディスプレイを用いる場合のディスプレイ画面上における照度は 500 ルクス以下、書類上及びキーボード上にお ける照度は 300 ルクス以上を目安とし、作業しやすい照度とすること。 解答 1 第4問 いかなる通信環境においても、インターネットにおける通信速度に差異はない。 解答 …

この記事はCTFのWebセキュリティ Advent Calendar 2021の7日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 クロスサイトスクリプティング（XSS） 名前は歴史的なものらしいので、意味はあまり気にしなくていいと思ってる。正直どこからどこまでをXSSと呼ぶべきか微妙な風に思っているが、とりあえずHTMLコードとかjsコードを埋め込むことができればXSS 攻撃シナリオ CTFではCookieを奪取するシナリオを想定する場合が多い。なので、特に何…

1. 各設問において、正しいものは1を、間違っているものは2を、該当設問の解答欄に記せ。 第1問 CSS で「color: #ff0000;」と指定すると、指定された文字の色は青になる。 解答 2 「color: #ff0000;」は「赤」になります。 「青」は「color: #0000ff;」です。 第2問 ul 要素の直下の子要素として ul 要素を配置することは、文法として認められている。 解答 2 ul、olは基本的には直下の子要素にはliしか入れてはいけません。 第3問 アスペクト比とは、画面の濃淡の比率のことである。 解答 2 アスペクト比とは、画面や画像の縦と横の長さ（画素数）の…