最近、セッションフィクセイション脆弱性に対する関心がなぜか高まっています。同脆弱性は割合地味な脆弱性であり、話題になることはあまりありません。そこで、関心の高いこの時期に、セッションフィクセイション脆弱性の影響を受けやすいサイトについて説明し、注意を喚起したいと思います。 セッションフィクセイション脆弱性とは セッションフィクセイション(セッションIDの固定化)脆弱性は、なんらかの方法で利用者(被害者)のブラウザ上でセッションIDを強制的に指定して、その後利用者がログインしたタイミングで、攻撃者が「ログイン済みのセッションID」を知ることができるという脆弱性です。「安全なウェブサイトの作り方(改訂第五版)」P17から図を引用します。 図の「2.何らかの方法で自分が取得したセッションIDを利用者に送り込む」手法は、安全なウェブサイトの作り方では説明されていません。そこで、以下に「セッションI
![セッションフィクセイション脆弱性の影響を受けやすいサイトとは](https://cdn-ak-scissors.b.st-hatena.com/image/square/422471b77bdd10862333871f2d4dfb9e3debb57e/height=288;version=1;width=512/https%3A%2F%2F2.bp.blogspot.com%2F-KBAL2e5lDaU%2FUM20d5FrAHI%2FAAAAAAAADUs%2FCbMd3AEr1BY%2Fw1200-h630-p-k-no-nu%2Fsession-fixation001.png)