タグ

関連タグで絞り込む (0)

  • 関連タグはありません

タグの絞り込みを解除

securyに関するshikeのブックマーク (1)

  • おさかなラボ - 携帯電話からセッションIDの漏洩を防ぐ

    携帯電話向けWebアプリの脆弱性事情はどうなっているのか@高木浩光@自宅の日記 より リンク先のWebサイトには、Refererと共に端末IDもリクエストヘッダとして送信されているわけで、セッションID入りURLと端末IDがセットで流出するのだから、当然、同じHTTPリクエストを送るだけの方法でなりすましアクセスされてしまう。 URIにセッションIDを含める方法では、悪意のあるサイトにリンクを張るだけでRefererヘッダからセッションIDが取り放題となる。また、悪意のあるサイトにアクセスしたユーザーは端末IDもHTTPヘッダに含めそのサイトに送信してしまう。端末IDは簡単に詐称することが出来るので、端末IDをチェックしてもセッションハイジャックの防止線にはならない、というお話。 私は携帯端末は専門ではないので細かいことは良くわからないのだが、以下を前提にして、携帯電話からセッション

    shike
    shike 2008/08/05
    この場合、以下の方法を取ることにより、RefererからのセッションIDの窃取、またそれによるセッションハイジャックを防ぐことができる。 1. テンプレートなどにおいて、責任が持てるサイト以外には直接リンクを張らな
  • 1