BLOG ENTRY

セッションハイジャックの対策(PHP)

php

書籍からの情報を元に、既知のセッション鍵を強制的に使わせたり、既知の未知鍵を盗むことで、他人のセッションを乗っ取る攻撃の対策方法(PHP)をメモ。

対策1を必ず施した上で、対策2、対策3の導入も検討する。

1、session関連の設定方法

php.iniの設定を以下に変更する。
[CODE]
session.use_trans_sid = 0
session.use_cookies = 1
session.use_only_cookies = 1
session.auto_start = 0
[/CODE]

2、IPアドレスチェック

鍵に結びついたセッションについてIPアドレスも保存しておき、異なるIPからの利用がなされた時点でセッションを破棄する。

3、セッション鍵の定期的な変更

一定時間毎に、新しいセッション鍵に変更する方法。
session_start()直後に、session_regenerate_id(true)を実行する。
※PHPのバージョンが5.1.0移行であれば、session_regenerate_id()に引数trueを与えることで、自動的に古いセッション情報を削除してくれる。
[PHP]

詳しいことはPHPサイバーテロの技法に書かれてます。この本はすごくためになりました。著者の方に感謝。

その他14種類の脆弱性についてはこちらで一覧確認できます。

  • name:PHPで脆弱性の少ないセキュアなアプリを作るために実装時に意識すること | Web&MUSICブログ QUALL
  • date:2008/04/27
  • […] 13 => セッションハイジャック , […]

  • type:ピンバック [ ]

    WRITE COMMENT


    (required)


    (required)


    (required)

    MENU

    veltica creative of twitter