「4.6 セッション管理の不備 」について

[OK]

徳丸様、いつもお世話になっております。

「4.6 セッション管理の不備 」の下記2点の検証環境についてなのですが、動作内容としては同様と思っております。
・46-020:ログイン前のセッションIDの固定化(攻撃)
・46-020:ログイン前のセッションIDの固定化(情報の盗み出し。別ブラウザで確認すると分かりやすい)

上記2点の検証環境を用意された意図として、どのようなものがありますでしょうか。

何卒よろしくお願い致します。

[徳丸浩]

徳丸です。こんにちは。

書籍の方には書いてありますが、被害者の操作と攻撃者の操作をメニュー上分けたという意図になります。

2025年6月28日(土) 2:23 OK <cs00...@gmail.com>:

--
このメールは Google グループのグループ「「体系的に学ぶ 安全なWebアプリケーションの作り方」サポートML」に登録しているユーザーに送られています。
このグループから退会し、グループからのメールの配信を停止するには wasbook-reade...@googlegroups.com にメールを送信してください。
このディスカッションを表示するには、https://groups.google.com/d/msgid/wasbook-readers/15577b0a-ee46-41fc-8149-9242ae421df9n%40googlegroups.com にアクセスしてください。

--

徳丸浩 htok...@gmail.com

[OK]

徳丸様、いつもお世話になっております。
ご回答ありがとうございます。
「4.6 セッション管理の不備 」について添付にて質問させて頂けますでしょうか。

①下記2点の違いについて教えてください。
・5.ログイン前のセッションIDの固定化(正常系)

・6.ログイン前のセッションIDの固定化(攻撃)

添付ファイルP.25～33に「5」、P.34～36に「6」を図解しておりますが、下記の関係性で合っておりますでしょうか。
「5」→P.25～33の通り
「6」→「5」にて攻撃者が不正用意したURLを利用者にアクセスさせる。それ以外は「5」と同様

②

「7.ログイン前のセッションIDの固定化(情報の盗み出し)」は

利用者がWEBサイトAにユーザIDまたはメールアドレスを入力した途端に、

攻撃者が別のWEBブラウザにてWEBサイトAにアクセスすると利用者が入力した内容に限り見ることができる、

検証内容で合っておりますでしょうか。

その場合、利用者がWEBサイトAに入力しただけではセッション変数に値が代入されないと思うのですが、

セッション変数への代入はいつ実行されるのでしょうか。

質問に問題がありましたら、何卒ご指摘頂ければと思います。

何卒よろしくお願い致します。

2025年6月28日土曜日 10:01:12 UTC+9 徳丸浩:

[OK]

徳丸様、いつもお世話になっております。
ご回答ありがとうございます。

「4.6 セッション管理の不備 」について添付にて質問させて頂けますでしょうか。

①下記2点の違いについて教えてください。
・5.ログイン前のセッションIDの固定化(正常系)・6.ログイン前のセッションIDの固定化(攻撃)

添付ファイルP.25～33に「5」、P.34～36に「6」を図解しておりますが、下記の関係性で合っておりますでしょうか。
「5」→P.25～33の通り
「6」→「5」にて攻撃者が不正用意したURLを利用者にアクセスさせる。それ以外は「5」と同様

②

7.ログイン前のセッションIDの固定化(情報の盗み出し)は、書籍P.225の「利用者がWEBサイトAにユーザIDなどを入力した途端に、攻撃者が別のWEBブラウザからWEBサイトAを監視して、ユーザIDなどを盗める」の内容で合っておりますでしょうか。
その場合、「利用者がWEBサイトAにユーザIDなどを入力した」時にはセッション変数にユーザIDが保存されておらず、攻撃者はユーザIDを盗めないと思いました。
いつ、ユーザIDはセッション変数に代入されるのでしょうか。

質問に問題がありましたらご指摘頂けますと幸いです。
何卒よろしくお願い致します。

2025年6月28日土曜日 10:01:12 UTC+9 徳丸浩:

徳丸です。こんにちは。

書籍の方には書いてありますが、被害者の操作と攻撃者の操作をメニュー上分けたという意図になります。

[OK]

徳丸様、いつもお世話になっております。

ご回答ありがとうございます。

「4.6 セッション管理の不備 」について添付にて質問させて頂けますでしょうか。

①下記2点の違いについて教えてください。

・5.ログイン前のセッションIDの固定化(正常系)・6.ログイン前のセッションIDの固定化(攻撃)

添付ファイルP.25～33に「5」、P.34～36に「6」を図解しておりますが、下記の関係性で合っておりますでしょうか。

「5」→P.25～33の通り

「6」→「5」にて攻撃者が不正用意したURLを利用者にアクセスさせる。それ以外は「5」と同様

②

7.ログイン前のセッションIDの固定化(情報の盗み出し)は、書籍P.225の「利用者がWEBサイトAにユーザIDなどを入力した途端に、攻撃者が別のWEBブラウザからWEBサイトAを監視して、ユーザIDなどを盗める」の内容で合っておりますでしょうか。

その場合、「利用者がWEBサイトAにユーザIDなどを入力した」時にはセッション変数にユーザIDが保存されておらず、攻撃者はユーザIDを盗めないと思いました。

いつ、ユーザIDはセッション変数に代入されるのでしょうか。

質問に問題がありましたらご指摘頂けますと幸いです。

何卒よろしくお願い致します。

2025年6月28日土曜日 10:01:12 UTC+9 徳丸浩:

徳丸です。こんにちは。

書籍の方には書いてありますが、被害者の操作と攻撃者の操作をメニュー上分けたという意図になります。

[OK]

徳丸様、いつもお世話になっております。
ご回答ありがとうございます。

下記画像にて3点質問させて頂けますでしょうか。

質問に問題がありましたらご指摘頂けますと幸いです。
何卒よろしくお願い致します。

2025年6月28日土曜日 10:01:12 UTC+9 徳丸浩:

徳丸です。こんにちは。

書籍の方には書いてありますが、被害者の操作と攻撃者の操作をメニュー上分けたという意図になります。

[OK]

徳丸様、いつもお世話になっております。

ご回答ありがとうございます。

「4.6 セッション管理の不備 」について添付にて質問させて頂けますでしょうか。

①下記2点の違いについて教えてください。

・5.ログイン前のセッションIDの固定化(正常系)・6.ログイン前のセッションIDの固定化(攻撃)

添付ファイルP.25～33に「5」、P.34～36に「6」を図解しておりますが、下記の関係性で合っておりますでしょうか。

「5」→P.25～33の通り

「6」→「5」にて攻撃者が不正用意したURLを利用者にアクセスさせる。それ以外は「5」と同様

②

7.ログイン前のセッションIDの固定化(情報の盗み出し)は、書籍P.225の「利用者がWEBサイトAにユーザIDなどを入力した途端に、攻撃者が別のWEBブラウザからWEBサイトAを監視して、ユーザIDなどを盗める」の内容で合っておりますでしょうか。

その場合、「利用者がWEBサイトAにユーザIDなどを入力した」時にはセッション変数にユーザIDが保存されておらず、攻撃者はユーザIDを盗めないと思いました。

いつ、ユーザIDはセッション変数に代入されるのでしょうか。

質問に問題がありましたらご指摘頂けますと幸いです。

何卒よろしくお願い致します。

2025年6月28日土曜日 10:01:12 UTC+9 徳丸浩:

徳丸です。こんにちは。

書籍の方には書いてありますが、被害者の操作と攻撃者の操作をメニュー上分けたという意図になります。

[OK]

徳丸様、いつもお世話になっております。

追加で質問させて頂きたいのですが、Googleグループにて添付のような「メッセージが削除されました」の事象が発生しております。
Googleで検索したところ、Helpに同様の内容が投稿されておりましたが、ロックされており回答を確認できませんでした。

何かご存知ではありませんでしょうか。
また、別の質問手段等ありませんでしょうか。

何卒よろしくお願い致します。

2025年6月28日土曜日 10:01:12 UTC+9 徳丸浩:

徳丸です。こんにちは。

書籍の方には書いてありますが、被害者の操作と攻撃者の操作をメニュー上分けたという意図になります。

[OK]

徳丸様、いつもお世話になっております。
ご回答ありがとうございます。

「4.6 セッション管理の不備 」について添付にて質問させて頂けますでしょうか。

①下記2点の違いについて教えてください。
・5.ログイン前のセッションIDの固定化(正常系)・6.ログイン前のセッションIDの固定化(攻撃)

添付ファイルP.25～33に「5」、P.34～36に「6」を図解しておりますが、下記の関係性で合っておりますでしょうか。
「5」→P.25～33の通り
「6」→「5」にて攻撃者が不正用意したURLを利用者にアクセスさせる。それ以外は「5」と同様

②
7.ログイン前のセッションIDの固定化(情報の盗み出し)は、書籍P.225の「利用者がWEBサイトAにユーザIDなどを入力した途端に、攻撃者が別のWEBブラウザからWEBサイトAを監視して、ユーザIDなどを盗める」の内容で合っておりますでしょうか。
その場合、「利用者がWEBサイトAにユーザIDなどを入力した」時にはセッション変数にユーザIDが保存されておらず、攻撃者はユーザIDを盗めないと思いました。
いつ、ユーザIDはセッション変数に代入されるのでしょうか。

質問に問題がありましたらご指摘頂けますと幸いです。

何卒よろしくお願い致します。

2025年6月28日土曜日 10:01:12 UTC+9 徳丸浩:

徳丸です。こんにちは。

書籍の方には書いてありますが、被害者の操作と攻撃者の操作をメニュー上分けたという意図になります。

[OK]

徳丸様、いつもお世話になっております。

ご回答ありがとうございます。

添付の画像にて3点質問させて頂けますでしょうか。

（黄色の吹き出し）

何卒よろしくお願い致します。

2025年6月28日土曜日 10:01:12 UTC+9 徳丸浩:

徳丸です。こんにちは。

書籍の方には書いてありますが、被害者の操作と攻撃者の操作をメニュー上分けたという意図になります。