とくまるひろしのSession Fixation攻撃入門

公開: 2024年4月18日15時55分頃

……。

……そういえば最近、お問い合わせフォームのURLに sid=XXXXXXXX というようなパラメータがついているという変なアプリケーションを見ましたね。実際にセッション固定攻撃ができて、ターゲットに罠URLを踏ませてお問い合わせ内容を入力させると、攻撃者のブラウザで確認画面が表示できるという。

※しかし、そもそもどういう理由でお問い合わせ内容をわざわざセッションに入れるのかが分からないのですが……。お問い合わせ内容なんて長く保持する必要もありませんし、hiddenで持ち回りで良いと思うのですけどね。

関連する話題: Web / セキュリティ