セッションハイジャックとセッションフィクセーション。
言葉が似ているので試験で間違えたこともあり、その違いをまとめてみました。
セッションハイジャックとは?
サイトにアクセスしたユーザを認識するために付与されるセッションIDを
攻撃者が盗聴することで、
攻撃者がユーザになりすまして、
サイトにログインする攻撃手法のこと。
セッションフィクセーションとは?
セッションID固定化攻撃ともいう。
攻撃者が指定したセッションIDでユーザがログインし、
その後攻撃者がそのIDでログインすることで、ユーザになりすます攻撃のこと。
まとめ
セッションハイジャックは攻撃者が正規のIDを盗聴するのに対し、
セッションフィクセーションは攻撃者が指定したセッションIDをユーザが利用する
ことでなりすましが行われます。
どちらも結果は同じですが、攻撃の手順が違います。
その他の関連用語
その他の関連用語はコチラ⬇︎
