セッション管理

このセッション ID の発行や管理に不備がある場合、「 セッション・ハイジャック 」や、「 セッション ID の固定化（Session Fixation） 」などの攻撃にさらされます。

攻撃による発生しうる脅威

• ログイン後の利用者のみが利用可能なサービスの悪用
• ログイン後の利用者のみが編集可能な情報の改ざん、新規登録
• ログイン後の利用者のみが閲覧可能な情報の閲覧

対策方法

• セッション ID を推測が困難なものにする。
• セッション ID を URL パラメータに格納しない。
• HTTPS 通信で利用する Cookie には secure 属性を加える。
• ログイン成功後に、新しくセッションを開始する。
• セッション ID を固定値にしない。
• セッション ID を Cookie にセットする場合、有効期限の設定に注意する。