第3回 Webアプリの「セッション」に潜む罠前回まで、セキュリティ対策の責任や、安全ではないWebアプリができる理由を解説してきました。今回から、Webアプリやインフラを狙う具体的な攻撃手法や対策について説明します。 今回のテーマは「セッション管理」です。セッション管理とは、クライアント(Webブラウザー)とWebサーバー間で通信するときの、状態遷移を管理する仕組みです。 Webアクセスで一般的に利用するHTTP(Hypertext Transfer Protocol)というプロトコルには、状態遷移を管理する仕組みがありません。つまり、そのままでは動的なWebアプリケーションを動作させられないのです。そこで、開発者がセッション管理の仕組みを個々のWebアプリケーションで実装する必要があります。 このセッション管理は攻撃者に狙われやすいポイントの一つです。セッション管理の設計・実装の不備に起因する脆弱性には、「セッション・ハイジャック
