@IT:Webアプリケーション: 第3回 気を付けたい貧弱なセッション管理
※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 「第2回 顧客データがすべて盗まれる」は、クロスサイトスクリプティング(XSS)と同様に実際のプログラミングを行うプログラマの責任であるという対策で、最も危険と思われるSQL InjectionとOS Command Injectionについて紹介した。今回は、プログラミング以前の設計段階で潜り込むセキュリティホール――見落としがちなセッション管理の脆弱性について説明していく。 We
プロローグ [「セッション管理」って何だろう] 処理のつながりと状態を管理,Webアプリに必須のしくみ
ネットワークの世界では,「セッション」という言葉をよく使う。「セッション」とは,ネットワークから見た,一連の処理の始まりから終わりまでを表す概念だ。 HTTPにはセッションがない Webアクセスにも「セッション」はつきものだ。例えば,ショッピング・サイトにアクセスしたとき(図1)。最初のWebページでログイン,次のWebページで注文,さらにその次のページで決済といった具合に何回もWebアクセスを繰り返しながら処理を進め,最後にログアウトする。このログインからログアウトまでが,一つのセッションだ。ユーザーが意識しなくても複数のWebアクセスが関連付けられ,前回までのアクセス結果を基にアプリケーションが処理を進めていく。
![プロローグ [「セッション管理」って何だろう] 処理のつながりと状態を管理,Webアプリに必須のしくみ](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
