私がオンラインで読むことができることから、セッション固定攻撃は、url のクエリ文字列、またはおそらく POST を介して渡される session_id 情報によって引き起こされるようです。私の Web サイトでは、セッション情報を GET または POST で渡すことはありません。セッション情報を SESSION に保存しているだけです。何かが欠けているように感じるほど、それは私には信じられないほど明白に思えます...ブラウザのSESSIONにsession_idを保存するだけで、クライアントのsession_id情報を保護できますか?
1 に答える
0
セッション固定化は、攻撃者がセッション ID を定義するか、攻撃者が知っているセッション ID を作成できる攻撃であり、この ID を予期せぬ被害者に渡します。被害者は、この ID がランダムに作成されたものではないことを知らずに使用します。
「セッションにセッション情報を保存している」というあなたの言及は、完全に要点を逃しています。この攻撃は、このデータに直接アクセスすることを意味するものではありません。ID をターゲットにします - この ID は十分にランダムである必要がありますが、セッション固定攻撃はこれを回避します。
セッション固定の可能性がない場合でも、セッションに侵入する可能性のある攻撃ベクトルが他にもあることに注意してください。
于 2015-07-17T19:08:24.630 に答える