問題タブ [session-hijacking]

この記事では、

サイトが共有 Web サーバー上で実行されている場合は、同じサーバー上の他のユーザーがセッション変数を簡単に表示できることに注意してください。

GoDaddy のような大規模なホストでは、これに対する保護は本当にありませんか? それは本当に簡単でしょうか？それが簡単な場合、ホスト上の他のユーザーのセッション変数はどこにあるので、チェックアウトできますか?

httpOnlyを有効にしてCookieを取得するための可能な方法を探していますが、見つかりません。しかし、繰り返しになりますが、Firebug、Add'N Edit CookieなどのブラウザアドオンはどのようにしてCookieを取得できますか？攻撃者は同じことをすることはできませんか？

だから私の質問は、javascriptを使用してhttpOnly対応のリクエストのCookieを取得することは本当に本当に不可能ですか？

p / s：はい、httpOnlyがXSS攻撃を阻止しないことは承知しています。私はそれがスニファーに対して無駄であることも知っています。javascript、一種のalert（document.cookie）タイプ/httpOnly以前の時代に焦点を当てましょう。

最近、エラーログでこれを確認しました（1日1回、1日4万人の訪問者がいます）。

これはすべての人に有効であるため、構成の問題ではありません。

私はすでにphp.iniを変更してこれを持っています：

セッションハイジャックまたは私が気付いていない一種の攻撃を疑っています（私はパラノです;））。

あなたはそれが何であるかについて何か考えがありますか？セキュリティを向上させ、これを回避するにはどうすればよいですか？

統合Windows認証を使用するASP.NETWebアプリでは、セッションはWindows IDに関連付けられていますか？
つまり、（IWAを使用して）アプリにログインし、アプリがセッションに「もの」を保存している場合、このものはセッションIDのみでアクセスできますか？たとえば、悪意のある誰かが私のセッションIDを盗んだが、私の資格情報を盗んだ場合、その人は私のセッションのものにアクセスできますか？または、このセッションは同じIDにのみアクセス可能であり、アクセスするにはセッションIDとWindows IDの 両方が必要ですか？

最近、セッションの修正/ハイジャックについて読んでいて、その理論を理解しています。

私が理解していないのは、これが実際にどのように悪用されるかということです。盗まれた Cookie を利用するには、ブラウザを改ざんする必要がありますか? URL に追加して Web アプリケーションに渡しますか?

または、これを利用するために何らかのカスタム スクリプトを作成しますか? もしそうなら、それは何をしますか?

これや例について助けを求めるつもりはありませんが、もっと学び、理解しようとしています。どんな助けでも大歓迎です。

ASP.NET アプリケーションでのセッション ハイジャックを防止したいと考えていて、Jeff Prosise によるこのすばらしい投稿に出会いました。しかし、これは 2004 年のものであり、同じことを実行したり、問題を引き起こしたりするアップデートがあったかどうか疑問に思っていました。また、実稼働サーバーでこれを使用した人はいますか? もしそうなら、これによって引き起こされた問題はありましたか? 私のアプリケーションに影響を与える可能性がある唯一の問題は、誰かの IP ネットワークが短期間で変更された場合ですが、これが可能性が高いとは考えられません。

ありがとう

セッション ハイジャックに関する記事を読んでいるときに、Cookie に保存されているセッション ID の値を暗号化すると便利だということを知りました。

私の知る限り、 を呼び出してセッションを開始するとsession_start()、PHP はセッション ID 値を Cookie で暗号化しません。

セッション ID 値を暗号化し、それを使用してセッションを初期化するにはどうすればよいですか?

セッションハイジャックに関する記事を読みました。asp.netセッションの安全性を教えてください。asp.netセッションでセッションハイジャックを行うこともできますか。また、アプリケーションがセッション ハイジャックされるのを防ぐ方法を教えてください。良い例があれば、人々がそれを行う方法と、それから私のasp.netアプリケーションを安全にする方法を教えてください