質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

セッション

Sessionはクライアントがサーバに送ったすべてのリクエストのことを指します。

Q&A

解決済

1回答

3404閲覧

セッションハイジャックについて

1nakaji

総合スコア187

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

セッション

Sessionはクライアントがサーバに送ったすべてのリクエストのことを指します。

1グッド

3クリップ

投稿2015/10/04 04:47

PHPのセッション管理について教えて下さい。
PHPアプリケーションなどでログイン機能などがある場合。

一般的にはセッションIDをセッション変数とCookieに保存して、
ページごとにそれらが一致するかをチェックして、
ユーザーがログイン中かどうかを判断するかと思います。

ただ、セッションハイジャックなどの攻撃にあうことがあるので、
その他のトークン利用やログイン後にはセッションIDを変更するなどが
基本的な対策になると認識しています。

このセッションハイジャックについてなのですが、
セッション変数を使わずにCookieのみでセッション管理しているのは問題外としても、
セッション変数とCookieでセッション管理している場合に、
仮にXSSなどでセッションIDなどの情報が攻撃者にCookieから漏洩したとして、
攻撃者が自分になりすますということはできるのでしょうか。

Cookieが書き換え可能で偽装することができたとしても、
セッション変数に任意の値を格納するなどができるのでしょうか。

セッション変数は基本的に他人には漏洩しない、
書き換えできないものだと認識しているのですが、
何か方法などがあるのでしょうか。

よろしくお願いいたします。

saitouakihiro👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

セッションハイジャックには、セッション変数は関係ありません。
質問者さんのおっしゃる通り、セッション変数は基本的にサーバーで管理されており、外には出ないものです。しかし、何も外に出さないのでは、ユーザーの識別ができなくなってしまいます。なのでユーザーの識別(セッションの識別)のために外に出すのが、CookieのセッションIDです。
だからこそ、このセッションIDを盗めれば、なりすまし可能なのです。

そして、セッション変数はセッションIDを元にしているため、大元のセッションIDさえ盗めれば、セッション変数に何が入っているかなど、攻撃者には関係ありません。

例として、とあるショッピングサイトを利用するユーザーAさんと、Aさんになりすまそうとする攻撃者Bさんを挙げます。
ショッピングサイトということで、ログイン機能があります。Aさんがまずログインした場合、セッションIDが割り当てられ、CookieとしてAさんのブラウザに渡します。仮にCookie名をPHPSESSID、値をABCDとします。
このPHPSESSID(ABCD)をBさんが何らかの方法で盗んだとします。Bさんは自分のCookieをPHPSESSIDABCDであると偽装し、そのショッピングサイトにアクセスします。
AさんのセッションIDを騙るBさんを、Aさんではないと判別するのは非常に難しく、ショッピングサイトは、PHPSESSIDABCDであるBさんのことを、Aさんだと勘違いしてしまいます。

Aさんだと思われてるBさんは、Aさんが登録したクレジットカードを使って買い物したり、Aさんが設定した住所や電話番号などを閲覧したり等、Aさんになりすましてやりたい放題です。

時々、買い物確定時や、住所や電話番号変更ページへの遷移前に、パスワードを求めるサービスがあったりするので、なりすましに成功したところで、やりたい放題できるかどうかは、サイトによります。

そもそも、セッションハイジャックを行うには、多くの場合セッションIDを盗むという行為が必要なわけで、比較的まともなサイトはこれを防止する策を講じています。
特殊な文字をエスケープして、XSSを防止したり、
SSL/TLSを利用して、盗聴を防止する等。

上記で「セッションIDを盗むという行為が必要」と書きましたが、盗むことばかりがセッションハイジャックの手口ではありません。
Session Fixationと呼ばれる攻撃手法もあります。
攻撃者が作成したセッションIDを、他ユーザーに使わせるというものですが、これには質問者さんがおっしゃる「ログイン後にはセッションIDを変更する」が有効です。

投稿2015/10/04 07:28

shiolier

総合スコア1156

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

1nakaji

2015/10/04 12:08

非常にご丁寧に解説いただきまして、 まことにありがとうございます。 原理、対策に関しても私の認識通りで、 安心しました。 ただ、一点よくわからないことがあります。 >そして、セッション変数はセッションIDを元にしているため、 >大元のセッションIDさえ盗めれば、セッション変数に何が入っているかなど、 >攻撃者には関係ありません。 PHPアプリケーション側の処理は以下です。 ・ログイン時に$_SESSION['"token"]にセッションIDを格納 ログイン後のセッションチェックは以下。 ・$token に CookieからPHPSESSID取得 ・$_session["token"] == $token で比較 ・一致しなければ、エラー 攻撃者がCookieのPHPSESSIDを盗んだとしても、 $_session["token"]を偽装できなければ、 サーバー側ではじかれるのではと思っっています。 $_session["token"]に格納される値は、 誰の値ということでサーバー側で管理しているのではなく、 すべて共通で管理しているのでしょうか。 例えば、 ユーザーAがPHPSESSID=AAA ユーザーBがPHPSESSID=BBB ユーザーCがPHPSESSID=CCC というようになっていたとします。 ユーザーAがCookieのPHPSESSIDをBBBにすれば、 ユーザーBになりすませるのでしょうか。
1nakaji

2015/10/04 13:40 編集

上記、テストしたり調べたりと自己解決しました。 PHPSESSIDさえ分かってしまえば、 セッションハイジャックできるということですね。 だからこそ、セッション有効期限やXSS対策、 ログイン後にセッションIDを再発行するなどの 対策が必要ということですね。 あとは重要処理の時にはパスワード入力&確認メール送信が 一番よさそうですね。 この辺りはなかなか奥が深いですね。 勉強します。 ありがとうございました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問