Hatena Blog Tags
はてなブログ トップ
セッションハイジャック
このタグでブログを書く
言葉の解説
ネットで話題
関連ブログ

セッションハイジャック

(コンピュータ)
せっしょんはいじゃっく

他の人がセッションに使っているデータ(HTTPではクッキーが該当)を抜き取り、そのデータを使ってその人になりすますこと。主にXSS脆弱性によって引き起こされる。
TCPではIPアドレスはなりすますことができないので、ただのハッシュ関数ではなく、キーにIPアドレスを使ったHMACを使うようにすることによって防げる。

このタグの解説についてこの解説文は、すでに終了したサービス「はてなキーワード」内で有志のユーザーが作成・編集した内容に基づいています。その正確性や網羅性をはてなが保証するものではありません。問題のある記述を発見した場合には、お問い合わせフォームよりご連絡ください。
プロマネのなんでもブログ2ヶ月前

セッションハイジャックの対策方法

ランキング参加中テクノロジー ランキング参加中2023年5月start✨ ランキング参加中ライフスタイル 情報処理安全確保支援士の勉強を進めています。 攻撃手法についてまとめています。 過去の投稿について セッションハイジャックについて 発生しうる脅威 根本解決 セッションIDを推測困難なものにする セッションIDをURLパラメータに格納しない HTTPS通信で利用するCookieにはSecure属性を加える ログイン成功後は新しくセッションを開始する ログイン成功後に既存のセッションIDとは別に秘密情報を発行し、ページ遷移ごとに値を確認 緩和策 セッションIDを固定値にしない セッションID…

#セッションハイジャック#安全確保支援士

ネットで話題

もっと見る
141ブックマークPHPのセッションIDは暗号論的に弱い乱数生成器を使っており、セッションハイジャックの危険性がある : DSAS開発者の部屋dsas.blog.klab.org
63ブックマーク【レビュー】HTTPセッションハイジャックを実行できるFiresheep登場 | エンタープライズ | マイコミジャーナルFiresheep, a Firefox extension designed to demonstrate just how serious this problem is. Eric Butler氏が公開したFirefoxエクステンションFiresheepが大きな話題になっている。FiresheepはオープンワイヤレスネットワークにおいてHTTPセッションハイジャックを実施するためのデモンストレーションエクステンション...journal.mycom.co.jp
54ブックマークセッションハイジャック と session_regenerate_id( )関数canalize.jp
35ブックマークASP.NETで忘れずにやっておくべきこと(2) セッションハイジャック対策 - atsukanrockのブログatsukanrock.hatenablog.com
33ブックマーク【PHP セッションハイジャック対策】セッションIDを変更する | ScrapEngineerscrap.php.xdomain.jp
29ブックマーク[Think IT] 第3回:Railsでセッションハイジャックを実体験 (1/3)【セキュリティ最前線】 セキュリティホールをついて遊ぶ 第3回:Railsでセッションハイジャックを実体験 著者:大垣 靖男 公開日:2008/1/25(金) Railsでセッションハイジャックを実体験 第3回となる本記事では、Web開発プラットフレームワークとして人気が急上昇中の「Ruby on Rails」(以下、RoR)を目標に、サンプ...thinkit.co.jp
24ブックマークはてなツールバーにセッションハイジャックの恐れ、最新版に更新をWindows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行をinternet.watch.impress.co.jp
22ブックマークHTTPセッションハイジャック対策のアドバイス、Mozillaセキュリティ | エンタープライズ | マイコミジャーナルFirefox web browser - Faster, more secure & customizable Firefoxのエクステンションとして公開されたHTTPセッションハイジャックツールFiresheepは、オープンワイヤレスネットワークからインターネットを利用する場合、いかに簡単にクッキーを傍受して他人になりすますことが可能かを示すことになった。Webサービス...journal.mycom.co.jp
22ブックマークxss 脆弱性のあるサイトを作ってセッションハイジャックを試す - Qiitaqiita.com

関連ブログ

叡智の三猿6ヶ月前

外資系企業からの情報セキュリティ要望への対応

たくさんの会社とクラウドサービスに関わる「情報セキュリティ対策」のやり取りをしてきました。特にわたしはヨーロッパの外資系企業は、情報セキュリティに対する要望が高いイメージがあります。なかでも、某スウェーデン会社とは、セッションタイムアウトに関わるやり取りを何度もしたのが強く印象にあります。セッションタイムアウトは、クラウドサービスを含むオンラインサービスで、一定期間操作が行われなかった場合に自動的にセッション(通信の開始から終了まで)を終了する仕組みを指します。セッションが継続されている間、システムはセッションIDを生成し、Cookieに保存します。Cookieに保存したセッションIDを読み取…

#セッションハイジャック#GDPR
土日の勉強ノート8ヶ月前

徳丸本:セッション管理を理解してセッションID漏洩で成りすましを試す

「ハッキング・ラボのつくりかた 完全版 仮想環境におけるハッカー体験学習」と「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践」(通称:徳丸本)を参考に、セキュリティの勉強を進めています。 今回は、徳丸本の 3章の「Webセキュリティの基礎」について、実際にやっていきたいと思います。 それでは、やっていきます。

#セキュリティ#徳丸本#Burp Suite#セッションハイジャック
kuma0319のブログ2年前

Ruby on Railsチュートリアル第9章

Railsチュートリアルの第9章を進めていきます。 第9章(高度なログイン機構) 第9章(高度なログイン機構) Remember me機能 記憶トークン cookiesメソッド トークンと記憶ダイジェストの比較について BCrypt::Password.new(remember_digest)の部分 .is_password?(remember_token)の部分 remember(user)メソッドとcurrent_userの実装 remember(user)メソッド current_userメソッド ユーザーを忘れる 2つの小さなバグ Remember meチェックボックス チェックボック…

#Railsチュートリアル#Ruby on Rails#bcrypt#セッションハイジャック#セッションリプレイ
初心者データサイエンティストの備忘録2年前

OSコマンド・インジェクションとセッション・ハイジャック

OSコマンド・インジェクションとセッション・ハイジャックについて勉強しました。本記事はこれらの攻撃についてまとめています。なお、私はセキュリティに関してはずぶの素人で本記事にも誤りが含まれているかもしれません。その際はコメントでご指摘いただけると幸いです。 OSコマンド・インジェクション どんな攻撃? 脆弱性のあるWEBサイトの入力値に、悪意あるOSコマンドを入力することでWEBサーバに不正な動作を引き起こす攻撃です。 例 ファイル名を変更をする機能を持ったWEBサイトがあるとします。図1のようなイメージです。 図1:ファイル名を変更するWEBサイト このとき、WEBサーバ上の次のようなコマン…

#OSコマンドインジェクション#セッションハイジャック#セキュリティ