【要点】
◎不正に入手したセッションIDを使って正規のユーザーになりすまし、ユーザーとサーバー間のやりとりを乗っ取るサイバー攻撃
【辞書】
◆セッションハイジャック (Wikipedia)
https://ja.wikipedia.org/wiki/%E3%82%BB%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3%E3%83%8F%E3%82%A4%E3%82%B8%E3%83%A3%E3%83%83%E3%82%AF
【概要】
■セッションハイジャックの手口
- セッションIDを推測
- セッションIDを窃取
- セッションIDの固定化(セッションフィクセーション)
【ニュース】
◆セッションハイジャックはなぜ起こるのか?攻撃の仕組みと求められる対策 (ESET, 2023/01/10)
https://eset-info.canon-its.jp/malware_info/special/detail/230110.html
⇒ https://malware-log.hatenablog.com/entry/2023/01/10/000000_4
【ブログ】
◆セッションハイジャックの仕組みから対策までわかりやすく解説 (Lanscope, 2024/11/20)
https://www.lanscope.jp/blogs/cyber_attack_pfs_blog/20231225_1758
⇒ https://malware-log.hatenablog.com/entry/2024/11/20/000000_4
【公開情報】
◆安全なウェブサイトの作り方 - 1.4 セッション管理の不備 (IPA, 2021/03/31)
https://www.ipa.go.jp/security/vuln/websecurity/session-management.html
⇒ https://malware-log.hatenablog.com/entry/2021/03/31/000000_4
【検索】
google: セッションハイジャック
google:news: セッションハイジャック
google: site:virustotal.com セッションハイジャック
google: site:github.com セッションハイジャック
■Bing
https://www.bing.com/search?q=セッションハイジャック
https://www.bing.com/news/search?q=セッションハイジャック
https://twitter.com/search?q=%23セッションハイジャック
https://twitter.com/hashtag/セッションハイジャック
■VirusTotal
【関連まとめ記事】
