これだけは知っておきたいセッション変数の基礎：もいちどイチから！ HTTP基礎訓練中（8）（3/4 ページ）

» 2009年02月06日 00時00分公開

[杉山俊春，株式会社ユービーセキュア]

前のページへ 1|2|3|4 次のページへ

セッション変数で気を付けるべき“セッションフィクセーション”

ナツ　「さて、ここまではパラメータの受け渡しの話なんだけど、セッション変数の場合、それ以外にも気を付けないといけないことがあるんだよね」

クウ　「なんと」

ナツ　「セッション変数に格納された値自体の漏えいは大丈夫か、というとこだね」

クウ　「セッション変数に一度格納されれば、サーバ側の管理になるから大丈夫なんじゃ？」

ナツ　「んー。そういいたいところなのだけど、あと2つ考えないといけないかな」

クウ　「まだ2つも！」

ナツ　「1つ目は、セッションフィクセーションっていう脆弱性だね」

クウ　「……むむむ」

ナツ　「セッションフィクセーションは、セッションIDが攻撃者に知られてたら、入力した内容が確認画面とかで見られちゃうかもしれないってこと」

クウ　「まず、セッションフィクセーション自体があんまちゃんと理解できてないからいまいちピンとこないのです……」

ナツ　「ふむ……。じゃあ、セッションフィクセーションの話も含めて説明だね」

クウ　「お願いします＞＜」

　セッションフィクセーションという脆弱性は、攻撃者がユーザーに指定したセッションIDを利用させることで、ユーザーのセッション状態を乗っ取ることができてしまうという問題である。この脆弱性を突くための条件として、攻撃者が指定したセッションIDをユーザーに利用させることが必要であるが、ほかの脆弱性との組み合わせ（例えば、レスポンスヘッダインジェクションなど）で攻撃が容易に成功してしまう場合が存在する。

【関連記事】

もいちどイチから！ HTTP基礎訓練中（5）

レスポンスヘッダ＋改行コード＝脆弱性？！

http://www.atmarkit.co.jp/fsecurity/rensai/httpbasic05/httpbasic01.html

　特に、ログインなどの機能では、ログイン状態が乗っ取られてしまうと致命的な問題となるため、ログイン成功時に既存のセッションIDを破棄し、初期化して新しいものを発行するという仕組みが多くのサイトで取り入れられている。

図4　セッションフィクセーションの攻撃例

図4　セッションフィクセーションの攻撃例

　この脆弱性は、ログイン状態を例として解説される場合が多いため、ログインのみの問題と認識されていることが多いが、ログイン処理がないようなサイトでもセッション変数を利用した作りの場合、同様のことが起きてしまう危険性を秘めている。

　例えば、新規登録を行うような機能の場合、ユーザーが情報を入力する前にセッションIDが初期化されていない場合、攻撃者が同じセッションIDを利用して確認画面などで入力情報の確認ができてしまう危険性が残されている。

　hiddenを用いた新規登録ではこのようなことは起こらないため、これが仕組みが異なるため考慮すべき点が異なっている例の1つといえる。

セッション変数、どこに格納する？

クウ　「ふむふむ……。なんか難しそうですけど、理屈的には攻撃できちゃうねってことなのですね」

ナツ　「そうだねー。ちょっと考えないと思いがいたらないから難しいところかもしれないけどね」

クウ　「もう1個の考えなきゃいけないことはどんなのなんですか？」

ナツ　「2つ目は、セッション変数の格納先はちゃんと管理されてるか」

クウ　「……格納先ですかぁ。考えたこともなかったかもです。システムがよきに計らってくれてるとしか〜」

ナツ　「セッション変数の格納先については、いろんなパターンがあるけど、ファイルとかだと、そのファイルって誰がアクセスできるかっていうのがあいまいになってる場合が多いんじゃないかな」

　セッション変数は、サーバ側で管理されている状態になるため、何らかの方法で情報を保管しておく必要が出てくる。揮発性の高い状態で保管されている場合にはさほど問題とはならないが、ファイルのような形で保存されている場合、そのファイルの保管状態について考慮する必要がある。

　例えば、ユーザー名、住所、クレジットカード番号などを入力するようなアプリケーションでセッション変数を用いていれば、たとえユーザーが確認画面までで処理をやめてしまったとしても、その情報がファイルとして保存されたままになってしまうような例も存在する。

図5　実際のセッションファイルの見え方

図5　実際のセッションファイルの見え方

クウ　「そうなのかぁ〜。実は結構ちゃんと把握しておかないとダメかもですね」

ナツ　「まあ、使いやすいように隠ぺいされている部分も多いから把握が難しいこともあるけどね」

クウ　「表面的な動きだけじゃなくって、裏側で何が起こってるかも把握しないとダメなのですね〜」

ナツ　「お。もうこんな時間だね。そろそろ帰ろう」

クウ　「おおっ。帰りましょー」

並べて足して入れ替えて……

前のページへ 1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

SpecialPR

スポンサーからのお知らせPR

SpecialPR

＠IT eBook

「このままゼロトラストへ進んでいいの？」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方／進め方が分かる無料の電子書籍

超IT用語解説漫画「食べ超」を読んで、テクノロジーの進化に思いをはせよう

先進企業はOSSにどう取り組んでいる？　OSPOとSBOMのリアルが学べる無料の電子書籍

今すぐ役立つ！　ディスク管理を効率化するPowerShellコマンドレット集

» 一覧ページへ

注目のテーマ

AI for エンジニアリング

「サプライチェーン攻撃」対策

1P情シスのための脆弱性管理／対策の現実解

OSSのサプライチェーン管理、取るべきアクションとは

Microsoft ＆ Windows最前線2024

システム開発ノウハウ【発注ナビ】PR

編集部からのお知らせ

11/13～14【無料オンラインセミナー】『＠IT 開発変革セミナー 2024 Autumn』で、公立千歳科学技術曽我聡起教授による【基調講演　ローコードツールと課題解決型学習で実現した地域の「観光DX」】、テスト自動化研究会井芹洋輝氏による【基調講演　高品質と高スピードの両立を支えるソフトウェアQA】を配信

あなたにおすすめの記事PR

@ITについて

RSSについて

＠ITのRSS一覧

アイティメディアIDについて

アイティメディアIDとは

メールマガジン登録

＠ITのメールマガジンは、もちろん、すべて無料です。ぜひメールマガジンをご購読ください。

申し込みページへ

ITmediaはアイティメディア株式会社の登録商標です。

メディア一覧 | 公式SNS | 広告案内 | お問い合わせ | プライバシーポリシー | RSS | 運営会社 | 採用情報 | 推奨環境