セッション固定攻撃 | 鳩丸ぐろっさり (用語集)用語「セッション固定攻撃」についてセッション固定攻撃 (せっしょんこていこうげき)"Session Fixation" のことで、セッションハイジャックの手法の一つです。 通常のセッションハイジャックは、正規ユーザーに発行されたセッション ID を攻撃者が入手することで成立します。セッション固定攻撃の場合は発想が逆で、正規ユーザーが使用するセッション ID を攻撃者が指定するのです。正規ユーザーがそのセッション ID でログインすると、攻撃が成立します。 しかし普通はこんな攻撃は成立しません。普通の Web アプリケーションでは、ユーザがログインに成功した時に初めてセッション ID が発行されます。このセッション ID はサーバ側が勝手に割り振るもので、ユーザ側が好きなセッション ID を指定する余地などないのです。 ところが何を思ったものか、世の中にはログインする前にセッション ID を
