トップページ > コンテンツ > ネットワーク関連メモ > ネットワーク運用編 > セキュリティ関連 > セッションフィクセーション

概要

セッションハイジャックの手法の一つ。
悪意のある人間が何らかの方法でログイン済のセッションIDを入手し、
悪用すること。

典型例

セッションIDを悪意のある人間が入手。

そのセッションIDが含まれたリンク等を、一般ユーザに踏ませログインさせることにより、
その後、同じセッションIDを使った悪意のあるユーザがなりすましを行うというもの。

対策例

• 自分用のセッションIDを取得しにくいようにURLリライティングを無効にする
• セッションIDを予測しづらいものにする
• ログイン前とログイン後でセッションIDを変える等の対策が考えられる。
• HTTPS通信で利用するCookieにsecure属性を付与する。