セッションハイジャック
クロスサイトスクリプティング等により盗み出したセッションIDを利用し、他のユーザーに成りすまして重要なデータを参照したり、改ざんしたりすること。
■対策
■注意
(1)セッションIDを出力する場合は、htmlspecialchars() でエスケープする。
(2)会員サイトなどでは、ログインするタイミングでセッションIDを変更すると良い。
■メモ
○参考
■対策
- php.ini の session.use_only_cookies を "1" にする。
- php.ini の session.use_trans_sid を Off にする。
これらにより、セッションIDをクッキーからのみ受け付け、URLにセッションIDが表示されてしまうことを防ぐ。
■注意
(1)セッションIDを出力する場合は、htmlspecialchars() でエスケープする。
(2)会員サイトなどでは、ログインするタイミングでセッションIDを変更すると良い。
session_start(); if ( ! isset( $_SESSION['initiated'] ) ) { session_regenerate_id(); $_SESSION['initiated'] = true; }
■メモ
○参考
2005年08月19日(金) 03:36:50 Modified by isamun3