読者です 読者をやめる 読者になる 読者になる

にしのくえすと

情報処理技術者試験のお勉強ブログ


「にしのくえすと」とは?
・「情報処理技術者試験大好き」「ICT資格取りたい」な人のためのブログです。
・あいぱす、セキュマネ、基本、応用、セキュスペ(安全確保支援士)、ネスペ、デスペあたりの話題が中心です。
・申し述べる見解はあくまで私人としてのもので、勤務先とは一切関係ございません。
・資格試験に関する記事は、自己責任でご利用ください。


新刊のお知らせです!
20170310230011
・電子書籍第2弾!「セスペちゃん29」発売中!(Kindle版)
 午前対策+27春秋・28春秋午後解答ライブ収録!
 情報処理安全確保支援士対応!練習問題付き約150Pの攻略同人誌!

 
電子書籍発売中です!
20161022221039
・初の電子書籍!「ネスペちゃん28」発売中!(Kindle版)ver1.1

作者の日記系ブログ
みがまえるよりはやく  「にしの」私的なブログ不定期です。こちらもよろしくです。

今後のスケジュール
・ITパスポート本を製作中(6月予定)です。
・ネスペちゃんの改訂を行う予定です。(8月予定)

広告



セキュスペ午前攻略メタキン! (1)セッション管理

広告

セッションハイジャック

攻撃者がセッションをのっとり、通信当事者じゃないものがセッ
ションを行うことです。

TCPはセッション番号で通信を管理しています。


が、HTTPではセッション番号がなく、セッション番号を扱う
とき

・URLに埋め込む(クエリストリング)
・hiddenフィールド(Webフォーム)
cookie


これらを使用することになりますが、これらの情報がクリアテキ
ストになっていたり、推測しやすいものになっていたりするとセ
ッションを奪われます!


対策としては
・セッション番号の割り当てをランダムにする(推測させない)
・通信を暗号化する(そもそも見せない)
・認証を行う(なりすましさせない)


最近では、ログインごとにセッションIDを再割り当てさせる
問題もでてきていましたね。


「セッションフィクセーション」
相手のセッション番号を固定化(フィックス)してしまい、相手
の権限でセッションを行うことです。


クラッカーはあらかじめ自分で正当なセッション番号を得ておき
ます。利用者にメールなどでそのセッション番号のURLを踏ま
せ、強制的にそのセッション番号を使わせます。すると、クラッ
カーは利用者と同じ権限でサーバが使えるようになります。


対策としては、
・ログインごとにセッション番号を再割り当てする
・セッション番号の有効期限を短くする

最近ではこのフィクセーションのほうが問題として出されました。
覚えておきたい2つです。

にしのくえすと Presented by にしの 2017