e-Pares は施設情報管理システムです。e-Pares には、セッション固定の脆弱性が存在します。
e-Pares は施設情報管理システムです。e-Pares には、セッション固定の脆弱性が存在します。
最近購入したPHP×携帯サイト 実践アプリケーション集を読んでいて妙な感じがしたので、この感覚はなんだろうと思っていたら、その理由に気づいた。本書に出てくるアプリケーションは、PHPのセッション管理機構を使っていないのだ。そんな馬鹿なと思ったが、目次にも索引にも「セッション」や「session」という語は出てこない。サンプルプログラムのCD-ROM上で session を検索しても出てこないので、セッションはどこでも使っていないのだろう。 そうは言っても、本書にはブログやSNSなど認証が必要なアプリケーションも登場する。本書で採用している認証方式はこうだ。 携帯電話の個体識別番号を用いた、いわゆる「かんたんログイン」のみを使う 認証状態をセッション管理機構で維持しない。全てのページで毎回認証する そのため、「iモードID」など、ユーザに確認せずに自動的に送信されるIDを用いる つまり、全て
なぜPHPアプリにセキュリティホールが多いのか?:第25回 PHPのアキレス腱にて、大垣靖男氏がPHPのSession Adoption問題について取り上げている。大垣氏は度々この問題を取り上げているが、今のところ氏の主張に同調する人を見かけない。それもそのはずで、大垣氏の主張は間違っていると私は思う。 以下、大垣氏の主張を実際に試してみる形で、順に説明しよう。 大垣氏の主張 大垣氏の主張は、PHPにはSession Adoption脆弱性があるために、標準的なSession Fixation対策であるsession_regenerate_id()を施しても、その対策は有効ではないというものだ。 しかし,実際には現在に至るまでPHPのセッションモジュールのセッションアダプション脆弱性は修正されないままになっています。このために,本来はsession_regenerate_id関数をログイン
PHPにはHTTPセッション管理モジュールが標準で付いてきます。このセッションモジュールには非常に重大なセキュリティ上の脆弱性が修正されずに残っています。その脆弱性とはセッションアダプションです。 セッションアダプションとは、セッション固定化攻撃に利用される脆弱性です。PHPのセッション管理モジュールがセッションアダプションに脆弱であることは、かなり以前、何年も前から知られています。しかし、開発者の理解不足より脆弱性が放置されたままになっています。 セッションアダプションとは セッションアダプションとは、ブラウザ等から送信された未初期化セッションIDをそのまま利用してセッションを初期化してしまう脆弱性です。ユーザが送信してきたIDでも第三者に予想できない文字列であれば大丈夫なのでは?と考える方もいると思います。その通りで第三者に予想できなければ問題ないですし、仮に予想できてもログインする際
ガルーンやOfficeのグループウェア製品にクロスサイトリクエストフォージェリなど3件の脆弱性が発見された。 情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンターは6月27日、サイボウズのグループウェア製品「サイボウズ Office」などに3件の脆弱性が発見されたとして、JVN(Japan Vulnerability Notes)に情報を公開した。 発見された脆弱性は、クロスサイトリクエストフォージェリ(CSRF)とクロスサイトスクリプティング(XSS)、セッション固定の合計3件。対象製品は、CSRFがサイボウズ Office 6およびサイボウズ デヂエ 6.0(1.0)より前のバージョン、サイボウズ ガルーン 2.0.0~2.1.3。XSSとセッション固定がサイボウズ ガルーン 2.0.0~2.1.3となっている。 CSRFの脆弱性では、ユーザーが該当製
平素より「PHPプロ!」をご愛顧いただき、誠にありがとうございます。 2006年より運営してまいりました「PHPプロ!」ですが、サービスの利用状況を鑑みまして、2018年9月25日(火曜日)をもちましてサービスを終了させていただくことになりました。 サービス終了に伴いまして、2018年8月28日(火曜日)を持ちまして、新規会員登録ならびにQ&A掲示板への新たな質問、回答の投稿を停止させていただきます。 なお、ご登録いただいた皆様の個人情報につきましては、サービス終了後、弊社が責任をもって消去いたします。 これまで多くの皆様にご利用をいただきまして、誠にありがとうございました。 サービス終了に伴い、皆様にはご不便をおかけいたしますこと、心よりお詫び申し上げます。 本件に関するお問い合わせはこちらよりお願いいたします。
PHP におけるセッション管理では、 $_GET ではなく、$_POST でもなく、$_COOKIE からセッションID を受け取り、 さらに、$_COOKIE 以外で半券(チケット)を受け取って、 セッションID と照合して正当性を確かめるのが定石だ。 1. $_COOKIE による受け取りが必要な理由: 1.1 悪意の第三者は、あなたのリクエストに含まれる $_GET, $_POST を、自由自在に変更する罠を作れる。 1.2 PHP ではリクエスト変数($_GET, $_POST, $_COOKIE)によってセッションID を指定できる。 したがって、 $_GET, $_POST でセッションIDを受け取るようなシステムでは、 悪意の第三者が仕掛けた罠によって、 悪意の第三者が指定したセッションID で、 あなたのセッションが開始される可能性がある。 2. $_COOKIE 以外での
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く