PHP:既知のセキュリティ脆弱性 – Session Adoption

(Last Updated On: 2018年8月13日)追記：より新しい情報については間違いだらけのHTTPセッション管理とその対策をどうぞ。 PHPには広く知られているにも関わらず放置されている既知のセキュリティ脆弱性が幾つかあります。その一つがセッションモジュールのセッションアダプション(Session Adoption)脆弱性です。この脆弱性は現在広く利用されているWebアプリケーションの安全性に、非常に大きな影響を与える脆弱性です。 セッションアダプション脆弱性とはセッション固定化攻撃を可能とする脆弱性の一種です。セッションアダプションに脆弱なセッション管理システムは、ユーザ(ブラウザ)が送信してきた未初期化のセッションIDを受け入れ、セッションを初期化してしまいます。PHPに限らず、RailsやJavaのフレームワーク等、多くのWebフレームワークに発見されている脆弱性です。

[bigbro]

Session Adoption

[studio-m]

「国別TLD(ccTLD)の属性ドメイン(国別Top Level Domain, co.jp, or.jpなどのドメイン)にも下位ドメインからクッキーが設定でき、サブドメインのクッキー設定が無視される(送信順序、優先順位がいい加減)」

[FTTH]

何でかわかんないけどohgaki.netがFirefoxで物凄い文字化けする。クライアント側の事情かと思ったら、Chromeでは化けなかった。サーバでUA見て何かやってる？？

[cocoiti]

あとで]]

[ockeghem]

Session Adoptionは騒ぐほどのものではない。攻撃者は正規サイトからセッションIDを取得して攻撃可能で，Session Fixationの問題に帰結される。Login前Session Fixationの対策は難しいが，Session Adoptionがなくても同じこと