Shikata Ga Nai

Private? There is no such things.

Alternatives to SessionsのHACK STEPSについてまとめてみた

Hello there, ('ω')ノ

 

セッションの代替の手順を。

 

1.HTTP認証が使用されている場合、

  セッション管理メカニズムが実装されていない可能性があります。

  トークンのようなデータ項目が果たす役割を調べます。

 

2.アプリケーションがセッションレス状態メカニズムを使用し、

  クライアントを介して状態を維持するために必要な全てのデータを送信する場合、

  これを確実に検出するのは難しい場合がありますが、

  この種のメカニズムが使用されていることを示す強力な指標は次のとおりです。

 

  ■クライアントに発行されるトークンのようなデータ項目はかなり長い。

   (100バイト以上)

 

   ■アプリケーションは、すべての要求に応答して、

   新しいトークンのようなアイテムを発行します。

 

   ■アイテム内のデータは、暗号化されている

   (したがって、識別可能な構造がない)か、

   署名されている(したがって、意味のある構造があり、

   数バイトの意味のないバイナリデータが含まれている)ように見えます。

 

   ■アプリケーションは、複数のリクエストで同じアイテムを送信する試みを

   拒否する場合があります。

 

3.アプリケーションが状態の管理にセッショントークンを使用していないことを

  証拠が強く示唆している場合、攻撃のいずれかが何かを達成する可能性は

  ほとんどありません。

  壊れたアクセス制御やコードインジェクションのような

  他の深刻な問題を探すことに費やされたほうがよいでしょう。

Best regards, (^^ゞ