前回は、情報漏えいにつながる可能性の高い脆弱性について説明した。今回は、セッション管理における脆弱性について説明していく。
推測可能なセッションID
HTTPはステートレスなプロトコルであるため、複数の画面遷移を行うアプリケーションでは、セッション管理機能を開発者が作成する必要がある。このセッション管理機能は、以下のようにセッション識別情報(セッションID)を用いて、現在のアプリケーションの状態を把握する。
1. セッションIDは、ログインなどのタイミングでサーバ側で作成され、ブラウザに送信されます。
2. ブラウザはサーバから受け取ったセッションIDをリクエストに含めて、サーバに送信します。
3. サーバは、ブラウザから受け取ったセッションIDを元に、現在の状態を把握(セッションを維持)し、適切な処理を行います。
したがって、セッションIDは複数の画面遷移を行うアプリケーションでは重要な機密情報となる。万が一、セッションIDを攻撃者が取得すると、ユーザーが成りすまされてしまうためだ。
セッションIDが連番など簡単なものである場合、攻撃者は試行錯誤で現在有効なセッションIDを推測し、セッションを乗っ取ることが可能になる。
検査方法
この脆弱性の検査方法は、大量のセッションIDを取得し、その関係を推測する必要があるため、少々大変だ。
たとえば、セッションIDに連番やミリ秒単位の時間を基にした数値をそのまま使っていた場合は直ぐに推測がつく。しかし、これらの数値をMD5などでハッシュ化したものを使用している場合は、知識がないと、ただセッションIDを複数取得しただけでは推測できない。
このため、一見すると連番をMD5ハッシュ化した値などは安全のように思えるが、知識があれば直ちに推測可能なので注意が必要になる。セッションID解析ツールには、WebScarabなどがあります。