こんばんわ！
世間では徳丸試験といわれている、ウェブ・セキュリティ基礎試験に挑戦しようということで、いつものごとくアウトプットで記事にまとめていきます。

今回は第十一回目のセッションハイジャックについてまとめます。

セッションハイジャックの原因

第三者がセッション情報を入手する方法は３点です。

・セッションIDの推測

　→自作セッション管理機構の脆弱性

　→ミドルウェアの脆弱性

・セッションIDの盗み出し

　→XSS

　→HTTPヘッダインジェクション

　→Referの悪用

　→ミドルウェアの脆弱性

　→クッキーのセキュア属性不備ほか

・セッションIDの強制

　→セッションIDの固定化脆弱性

セッションハイジャックで起こること

下記が起こる可能性があります。

利用者の重要情報の閲覧

利用者が持つ権限での操作

利用者ＩＤによるメール、ブログ、投稿、設定の変更等

ＵＲＬ埋め込みセッション

セッションＩＤをクッキーに保存しないで、UＲＬに埋め込む方法もあります。その場合、Referヘッダーを経由して、セッションIDが外部に漏れる可能性があります。Referが、ＵＲＬの埋め込みのセッションを使え、外部サイトへのリンクがあるサイトが漏洩する可能性が高いです。

セッションID固定化

セッションＩＤを固定化にして運用していると、認証にて細工が可能となります。攻撃者が利用者としてログインしている状況を作れ、当該利用者として操作や情報抽出が可能になります。

対策

・セッションは自作にせず、Webアプリケーション開発ツールを使用

・認証後にセッションIDを変更する

・トークンによる対策

・クッキーにセッションIDを保存する

ここまでです。
読んでいただきありがとうございました。