セキュリティ診断項目解説

title1

セキュリティ診断項目の例を一部解説いたします。セキュリティリスク回避にご利用ください。



セッション・ハイジャック(セッション管理)

概要

 「セッション・ハイジャック」とは、セッション管理を使用しているWebにおいて、攻撃者によってユーザのセッションが乗っ取られる攻撃です。

1:セッション管理が行われているWebサイトでは、ユーザとWebサイト間でセッションIDの送受信がされています。
2:攻撃者によってユーザとWebサーバの通信が盗聴されるなど、セッションIDが盗まれ使われた場合、
3:Webサイトは、攻撃者からのアクセスであるにもかかわらず、ユーザからのアクセスとして処理してしまいます。
4:その結果、ユーザがWebサイトで行える操作を全て、攻撃者にも実行されてしまう可能性があります。


・注意を要するWebサイト

ログイン機能があり、セッション管理でユーザの特定を行っているWebサイトで注意が必要です。

セッション・ハイジャック

セッション管理(セッション・ハイジャック)

脅威・発生しうるリスク

 攻撃者によってユーザのセッションIDが盗まれ使われた場合、次のような被害を受ける可能性があります。

・セッションの乗っ取り

 Webサイトでセッション管理を行う場合、Cookieを使ったセッション管理が一般的です。Cookieには、セッションIDと呼ばれるユーザを識別するIDが含まれ、このセッションIDはユーザのブラウザとWebサイト間で送受信されます。セッションIDを使用しているWebサイトがHTTPSで保護されていない場合、機密情報と同様にセッションIDが漏えいする可能性があります。攻撃者によってセッションIDが盗まれ、盗まれたセッションIDが使われると、セッションが乗っ取られ、なりすましの被害を受ける可能性があります。
 なりすましがされた場合、ユーザが実行可能な、商品の購入・個人情報の表示・送金などの操作を、攻撃者によって不正に実行されます。



ページトップにWebアプリケーション診断へ戻る


所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-6861-5172

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ