セッションハイジャック対応
セッションハイジャック
HTTPプロトコルでは、1回のリクエストに対して、画面を表示して終了してしまいます。従って、複数の画面に渡って処理を行う場合には、セッション管理が必要となります。セッションハイジャックは、何らかの方法で取得したセッションIDを利用してユーザのセッションを乗っ取る攻撃です。
セッションハイジャック例
a) 例えばPHPではセッション情報をURLに埋め込む設定が可能です。(session.use_trans_sid=1)HTTPリファラによってセッションIDが漏洩する可能性があります。
b) クロスサイトスクリプティング(XSS)によるセッションID漏洩
クロスサイトスクリプティング(XSS)によってリダイレクトされた悪意あるサイトでセッションIDが盗まれる可能性があります。
c) セッション固定化攻撃によるセッションIDの固定
固定化されたセッションIDでログインしたのちにセッションをハイジャックされる可能性があります。
これらのセッションハイジャックによるなりすましによって、ユーザの個人情報漏洩や改ざん、ショッピングサイトでの不正購入などの事態が発生します。
セッションハイジャック対応方法
a) セッションIDをクッキーのみで扱う。(ただし、クッキーに対応しているブラウザのみ。スマートフォンでない携帯電話はクッキーに対応していません)b) クロスサイトスクリプティング(XSS)の防御
c) セッション固定化攻撃の防御
その他、セッションハイジャックをチェックする方法や重要な処理を行う前に再度認証する(多重認証)などの対応策もあります。
業務を委託している業者は、webセキュリティに対する充分な知識と対応ノウハウを持っているでしょうか?
脆弱性を持つwebアプリケーションをインターネットに公開して被害が発生した場合、損害賠償という事態に発展することもあるかも知れません。企業の場合は信用問題にも関わってきます。
webアプリケーションを開発する以上、セキュリティを意識して適切な対応をすることは必須事項です。
制作の流れ
1 お問い合わせ
お問い合わせ・お申し込みフォームに「ご記入後、送信してください。
2 ご発注
メールやり取り・リアル打合せなどをさせていただき、双方の合意が可能な場合はメール・FAX等にて正式にご発注ください。
まずは、お問い合わせ・お申し込みフォームをご記入ください。
- お問い合わせの際はサーバーの有無、できれば契約レンタルサーバー・サーバーOS等のサーバー環境もお知らせください。
- また、必要に応じて NDA(秘密保持契約)を本契約前に締結させていただく準備もございます。
