セッションハイジャックの代表的な攻撃手口にはどのようなものがありますか?

セッションハイジャックの主な攻撃手口は、セッションIDの窃取・推測・固定化(フィクセーション)の3種類です。セッションIDとはユーザーを識別するための符号で、攻撃者はWebサイトの脆弱性や通信経路の不備を突いてこれを不正に取得し、正規ユーザーになりすまします。

代表的な攻撃手口は、以下の3つです。

  • セッションIDの窃取
    クロスサイト・スクリプティング(XSS)などによる不正スクリプト実行や、暗号化されていない通信の盗聴によってIDを盗み取る手法。
  • セッションIDの推測
    IDの生成規則の分析やブルートフォース攻撃(総当たり攻撃)によって、有効なIDを割り出す手法。
  • セッション・フィクセーション
    攻撃者が用意した特定のIDをユーザーに使用させ、ログイン後にそのセッションを乗っ取る手法。

いずれの手口もセッションIDの管理不備を突く攻撃であるため、IDの生成・管理・破棄の各段階でセキュリティ対策を講じることが重要です。

各手口の具体的な仕組みについては「セッションハイジャックで用いられる代表的な攻撃手口」で詳しく解説しています。

AeyeScan

AeyeScanの導入を検討してみませんか?

操作性の確認、
実際に利用してみたい方へ

「AeyeScan」の無料トライアル

トライアルにかかる費用は不要。実際の操作性はどうなの?またどのように脆弱性が発見されるのか?などの疑問は無料トライアルで解消しましょう。

無料トライアルの申し込み

サービスをより詳しく
知りたい方へ

「AeyeScan」のサービス概要資料

改めてサービスの特長や導入効果、企業の導入実績などAeyeScanについてより詳しく知りたい方はぜひサービス紹介資料をご覧ください。

サービス資料を読む

お見積もりの希望・導入を
ご検討している方へ

「AeyeScan」へのお問い合わせ

お見積りの希望・導入をご検討してくださっている方はお問い合わせフォームよりご連絡ください。当日もしくは遅くとも翌営業日にはご連絡を差し上げます。

お問い合わせフォーム