Webアプリケーションの脆弱性を総括するセッション系の脆弱性 セッション系の脆弱性には、「Session Hijack」「Session Replay」「Session Fixation」がある。これらの脆弱性は基本的にセッション管理の不備が原因で発生する。セッション管理の不備とは、以下のような項目に問題があるということである。 セッションを維持する方法 セッションIDの生成アルゴリズム セッションIDの発行タイミング セッションIDの有効期間 セッション管理は基本的に「認証状態を維持する方法」であるため、この部分に脆弱性があると個人情報が漏えいする場合が多い。 脆弱性が存在する可能性がある個所 基本的にセッション管理の仕組み自体が対象となる。 Session Hijack セッションIDの生成方法に問題がある場合に、推測や総当たりによって有効なセッションIDを見つけられてしまう。 Session Replay セッションIDの
