セッションフィクセーション攻撃
セッションフィクセーション攻撃とは、ひとことで言えば、攻撃者が事前に用意したセッションIDを被害者に使わせ、ログイン後にそのセッションを乗っ取る手法です。たとえば、URLパラメータでセッションIDを付与したリンクを被害者に踏ませ、被害者がそのまま認証情報を入力するとセッションが共有されます。対策はログイン成功時にセッションIDを必ず再発行することです。
セッションフィクセーション攻撃とは、ひとことで言えば、攻撃者が事前に用意したセッションIDを被害者に使わせ、ログイン後にそのセッションを乗っ取る手法です。たとえば、URLパラメータでセッションIDを付与したリンクを被害者に踏ませ、被害者がそのまま認証情報を入力するとセッションが共有されます。対策はログイン成功時にセッションIDを必ず再発行することです。