第8回 これだけは知っておきたいセッション変数の基礎
杉山 俊春
株式会社ユービーセキュア
技術本部 VEXグループ リーダー
兼 セキュリティオーディットコンサルタント
2009/2/6
(Illustrated by はるぷ)
並べて足して入れ替えて……
そして週明け……
| クウ | 「おはよー」 |
| ユウヤ | 「おはよ。勉強会はどうだった?」 |
| クウ | 「なんか宿題が出たよー!」 |
| ユウヤ | 「ああ、なんかWebにも上がってたね」 |
| クウ | 「おおっ? そんなところチェックしてるんだ」 |
| ユウヤ | 「まあね。いろいろ知っておかないといけないし。それより、宿題解けたんか?」 |
| クウ | 「いや……。さっぱり……。難しいよね、あれ」 |
| ユウヤ | 「いや、簡単だったぞ?」 |
| クウ | 「ええっ! もう解けたの??」 |
| ユウヤ | 「……まあ、頑張って解いてくれ」 |
| クウ | 「むむむ……」 |
| 【関連記事】 基礎のキソ、エブリバディ・セッション管理! http://www.atmarkit.co.jp/fsecurity/rensai/httpbasic07/httpbasic01.html |
| クウ | 「やっぱり分からないー。答え教えてー」 |
| ユウヤ | 「しょうがないなぁ」 |
| クウ | 「教えてください><」 |
| ユウヤ | 「これは、典型的な脆弱なセッションIDだね。まず並べ替えてみるとよく分かる。まず、先頭の文字で並べ替えてみる」 |
| クウ | 「並べ替えて意味あるの?」 |
|
| ユウヤ | 「もう、これだけで攻略された、っていっていいくらいなレベルだが、例えば、『c』と『g』を比べてみよう。9、10文字目以外全部同じだ」 |
| クウ | 「ホントだ……。『b』と『j』とかもほとんど同じ……」 |
| ユウヤ | 「次に、先頭の数字が近い『b』と『c』について比べると、これまたとても似ている」 |
| クウ | 「どこが……?」 |
| ユウヤ | 「鈍いな……。『c』の各けたに1足したらほとんど同じだ」 |
|
| クウ | 「ホントだ……」 |
| ユウヤ | 「さらに、同じようにして、全部、先頭が『1』になる値を各けたに足す」
|
| クウ | 「ふむ……」 |
|
| ユウヤ | 「さすがにこれで、ほぼ連番っぽくなっているのは分かるよな?」
|
| クウ | 「おおっ! ホントだ! すごーい!」 |
| ユウヤ | 「さらに、これが、最後のけたを除いたら時間、つまり1970年1月1日00:00:00 UTCからの経過秒数だって分かれば完ぺきだな」 |
| クウ | 「ふむふむ」 |
| ユウヤ | 「脆弱なセッションIDで、『時間』をキーにして単純な変換をするだけというのは簡単に思いつくから結構やってしまいがちだな。だから、見る人が見れば、時間さえ分かればセッションIDが作れてしまうってのは簡単に分かるよ。逆に、この問題がいつ作られたかも丸分かりだね」 |
| クウ | 「なるほど……」 |
| ユウヤ | 「むしろ、普通は、時間をキーにして作られていないか? から疑ってかかるくらいだけどね」 |
| クウ | 「ユウちゃん、よく知ってるね。そんなのどこで習ってくるの?」 |
| ユウヤ | 「まあ、常識だな」 |
| クウ | 「くぅ……」 |
セッションIDのようにランダム性が必要となる値を生成する際には、時刻のように簡単に分かってしまう値をキーにしたり、簡単な変換ルールに頼ってしまったりしないようにする必要がある。また、時刻のように一意にならない可能性のあるものをキーにした場合、異なるユーザーで同じセッションIDを利用してしまう可能性があるため、注意が必要である。
きょうの格言
 セッション管理は セッション変数を理解することから
|
【クウたちの壁紙カレンダー、配布中!】  本連載のイラストを担当しているはるぷさんによる、毎月更新のカレンダーが配布されています。ぜひご利用ください!特製ウォールペーパー http://www.ubsecure.jp/wallpaper.php |
 |
4/4 |
| Index | |
| これだけは知っておきたいセッション変数の基礎 | |
| Page1 誰もが最初は初心者でした |
|
| Page2 セッション変数、利用方法をお間違えなく |
|
| Page3 セッション変数で気を付けるべき“セッションフィクセーション” セッション変数、どこに格納する? |
|
 |
Page4 並べて足して入れ替えて…… |
もいちどイチから! HTTP基礎訓練中 バックナンバー
| Profile |
| 杉山 俊春(すぎやま としはる) 株式会社ユービーセキュア 技術本部 VEXグループ リーダー 兼 セキュリティオーディットコンサルタント セキュリティコンサルタントとして、主にWebアプリケーションのセキュリティ検査やWebアプリケーション検査ツールの開発などに従事している。大手ショッピングサイトなどの検査実績を持つ。 |
 |
もいちどイチから! HTTP基礎訓練中 連載インデックス |
TechTargetジャパン
Security&Trust フォーラム 新着記事
- 実録、「Hardening Zero」の舞台裏 (2012/5/25)
コラムの更新頻度を落として何をやっていたかって? 「守る技術」に焦点を当てたこんなイベントを開催しました - 複雑化、巧妙化する脅威への対策は? (2012/5/23)
データ保護や標的型攻撃対策、クラウドセキュリティ……「第9回 情報セキュリティEXPO」の会場で見つけた製品を一挙に紹介 - 仮想化がはらむ新たなリスク (2012/5/17)
仮想化に伴って生じるセキュリティやパフォーマンスへの影響を慎重に考慮し、うまく制御していく方法を紹介します - 新入生も新入社員も勉強会に寄っといで! (2012/5/14)
週末ともなれば至るところでセキュリティ系勉強会やCTFなどのイベントがあり、ツイートも盛り上がりました
 |
|
|
|
|
RSSフィード 
@IT 新着記事
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
ソリューションFLASH
Copyright(c)
2000-2012
ITmedia Inc.
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。