PR

 前回まで、セキュリティ対策の責任や、安全ではないWebアプリができる理由を解説してきました。今回から、Webアプリやインフラを狙う具体的な攻撃手法や対策について説明します。

 今回のテーマは「セッション管理」です。セッション管理とは、クライアント(Webブラウザー)とWebサーバー間で通信するときの、状態遷移を管理する仕組みです。

 Webアクセスで一般的に利用するHTTP(Hypertext Transfer Protocol)というプロトコルには、状態遷移を管理する仕組みがありません。つまり、そのままでは動的なWebアプリケーションを動作させられないのです。そこで、開発者がセッション管理の仕組みを個々のWebアプリケーションで実装する必要があります。

 このセッション管理は攻撃者に狙われやすいポイントの一つです。セッション管理の設計・実装の不備に起因する脆弱性には、「セッション・ハイジャック」と「セッション固定攻撃」があります。Webアプリケーションで安全なセッション管理を実装するには、セッション管理の仕組みを理解し、セッション管理の不備をついた脆弱性を理解して設計・実装しなければなりません。

WebアプリケーションがセッションIDを発行

 HTTPは、リクエスト(要求)とレスポンス(応答)が一対になったプロトコルです。このため、同一ユーザーからのリクエストであっても、1回目のリクエストと2回目のリクエストは一連のものではなく、個別のリクエストとして処理されてしまいます(図1)。

図1 HTTPはステートレスなプロトコル
図1 HTTPはステートレスなプロトコル
[画像のクリックで拡大表示]

この記事は会員登録で続きをご覧いただけます

日経クロステック登録会員になると…

新着が分かるメールマガジンが届く
キーワード登録、連載フォローが便利

さらに、有料会員に申し込むとすべての記事が読み放題に!
日経電子版セット今なら2カ月無料