行政書士とセキュリテイ30
- ezily5
- 2022年4月1日
- 読了時間: 1分
行政書士とセキュリテイ30 以前閲覧したwebサイトを快適に閲覧できるセッションID(Webページにアクセスしたユーザーが、そのページ内で行う一連の動作を1セッションと数えている。たとえば、ユーザー名とパスワードを入力して認証を行ってログインした場合、ログアウトしてそのWebページを退出するまでが、1セッションである。)を盗んで本人になりすますサイバー攻撃がセッションハイジャックサイバー攻撃である。
簡単に言えば、盗んだ免許証やパスポート使って悪さをするサイバー攻撃である。被る被害には ○正規ユーザーになりすまして、機密情報を盗む ○正規クライアントになりすまして、サーバに侵入する ○オンラインバンクの不正出金 ○登録情報の漏洩や改ざん ○クレジッドカードの不正利用などがある
セッションIDを盗む方法は ①セッションIDを推測 ②ユーザーからセッションIDを奪取
対策には、セッション管理ツールでIDを管理することである。
コメント