- トップページ
- 情報セキュリティスペシャリスト
- 平成29年度春季問題一覧
- 平成29年度春季問題5-解答・解説-分析
平成29年度春季問題
問題5
セッションIDの固定化(Session Fixation)攻撃の手口はどれか。
| ア | HTTPS通信でSecure属性がないCookieにセッションIDを格納するWebサイトにおいて,HTTP通信で送信されるセッションIDを悪意のある者が盗聴する。 |
| イ | URLパラメータにセッションIDを格納するWebサイトにおいて,Refererによってリンク先のWebサイトに送信されるセッションIDが含まれたURLを,悪意のある者が盗用する。 |
| ウ | 悪意のある者が正規のWebサイトから取得したセッションIDを,利用者のWebブラウザに送り込み,利用者がそのセッションIDでログインして,セッションがログイン状態に変わった後,利用者になりすます。 |
| エ | 推測が容易なセッションIDを生成するWebサイトにおいて,悪意のある者がセッションIDを推測し,ログインを試みる。 |
セッションIDの固定化(Session Fixation)攻撃の手口はどれか。
| ア | HTTPS通信でSecure属性がないCookieにセッションIDを格納するWebサイトにおいて,HTTP通信で送信されるセッションIDを悪意のある者が盗聴する。 |
| イ | URLパラメータにセッションIDを格納するWebサイトにおいて,Refererによってリンク先のWebサイトに送信されるセッションIDが含まれたURLを,悪意のある者が盗用する。 |
| ウ | 悪意のある者が正規のWebサイトから取得したセッションIDを,利用者のWebブラウザに送り込み,利用者がそのセッションIDでログインして,セッションがログイン状態に変わった後,利用者になりすます。 |
| エ | 推測が容易なセッションIDを生成するWebサイトにおいて,悪意のある者がセッションIDを推測し,ログインを試みる。 |
解答:ウ
<解説>
正しいセッションIDを見つけるのではなく,攻撃者が固定する(攻撃者が指定したセッションIDが使われる)ことでセッションを乗っ取るのがセッションIDの固定化である。
見つける手間をかけるくらいのであれば,こちらから送り込んで固定してしまうことがセッションIDの固定化(Session Fixation)攻撃である。
お問い合わせ
