■ 今日の用語解説
今日は「セッションハイジャック」について解説します。
▼ セッションハイジャックとは?
ユーザーとサーバーの接続状態(セッション)を管理する「セッションID」を攻撃者が盗み出し、正規ユーザーになりすます攻撃手法です。
パスワードが破られていなくても、ログイン後の「鍵」であるIDが盗まれれば、アカウントは乗っ取られてしまいます。
▼ 主な攻撃手法
(1) 盗聴(スニフィング):暗号化されていない通信からIDを盗む
(2) クロスサイトスクリプティング(XSS):スクリプトを使ってCookieからIDを抜く
(3) セッションフィクセーション:攻撃者が用意したIDをユーザーに使わせる
▼ エンジニアができる対策
・常時SSL/TLS化(HTTPS)の実装
・Cookieへの「Secure」属性と「HttpOnly」属性の付与
・ログイン成功時のセッションID再発行
・適切なセッションタイムアウト設定
#セキュリティ #用語解説 #学習 #エンジニア #セッションハイジャック
---
stand.fmでは、この放送にいいね・コメント・レター送信ができます。
https://stand.fm/channels/5ec48451f654bbcab4d3f793
