はてなブックマーク - PHPのセッションアダプション脆弱性克服への道のり

PHPのセッションアダプション脆弱性克服への道のり

blog.ohgaki.net

タグ : PHP security セキュリティ session phpadvent2011 プログラミング programming Webアプリケーション脆弱性メモ

コンピュータ・IT 44 users

PHP Advent Calender用のエントリです。 PHPのセッション管理は非常に簡単です。セッションをsession_start()で開始して$_SESSION配列を使うだけです。便利で簡単なセッションモジュールですがセッションアダプションに脆弱であるため、一般に言われてる「ログインする時にはsession_regenerate_id()を呼ぶ」コーディングではセッションアダプションに脆弱になってしまいます。まずは危険性と対策を紹介します。... セッションアダプションの危険性セッションアダプ... > このページを見る

最終更新時間: 2011年12月05日20時55分

▼ブログで紹介する

みんなのブックマーク人気（4）新着

ockeghem php, security, session, 大垣靖男
『セッションアダプションが致命的な脆弱性であることは少しブラウザのクッキーで実験してみれば分かる』<実験した http://t.co/so8Y2fWu 2011/12/05
mumincacao
多重くっきー問題で複数 SID が送信されると不正な SID が優先されてせっしょんが切れることはあっても再生成で破棄された SID が有効にはならない気がするんだけどなぁ・・・（´・ω【みかん 2011/12/06
MinazukiBakera メモ
まず、何を「セッションアダプション」と呼んでいるのかが良くわからないです。他にもいろいろよくわからないですが。 2011/12/06
masakielastic2 php, security
リリースマネージャの反応を見ると理解されているといえるか疑問 http://marc.info/?l=php-internals&m=132294439729529&w=2 2011/12/06

mumincacao
多重くっきー問題で複数 SID が送信されると不正な SID が優先されてせっしょんが切れることはあっても再生成で破棄された SID が有効にはならない気がするんだけどなぁ・・・（´・ω【みかん 2011/12/06
rryu セキュリティ
既知になってから6年も放置していても悪用事例が1件も無いのは、大した脆弱性じゃないという証拠なのではないかと。 2011/12/06
MinazukiBakera メモ
まず、何を「セッションアダプション」と呼んでいるのかが良くわからないです。他にもいろいろよくわからないですが。 2011/12/06
masakielastic2 php, security
リリースマネージャの反応を見ると理解されているといえるか疑問 http://marc.info/?l=php-internals&m=132294439729529&w=2 2011/12/06
pmakino Webアプリケーション, PHP, セキュリティ
「しかし、IPアドレスが帰ってくればco.jpにもクッキーが設定できてしまいます」??? 2011/12/06
ockeghem php, security, session, 大垣靖男
『セッションアダプションが致命的な脆弱性であることは少しブラウザのクッキーで実験してみれば分かる』<実験した http://t.co/so8Y2fWu 2011/12/05
shin1x1 php, phpadvent2011, security
5日目！ #phpadvent2011 2011/12/05