2012年12月20日

[WebSphere]セッションフィクセイション攻撃について

うーむ。
セッション固定攻撃自体は結構前からある手法で、phpとかはアダプションがあるので
うまくいきやすい。(指定した文字列をセッションIDとして受け付けてしまうという脅威的な機能)
アダプションを無効にしたとしても、Cookieモンスターやなんやらでイケテル文字列を用意すれば
よろしい、詳しくは徳丸本徳丸さんのblogなどに詳しい解説がある。

ここまではよい。

で、javaだとアダプションは出来ないんだけど、イケテルIDを取得してきたらOKなのは間違いない。
アダプションもできないはずなんだけど、本当に出来ないかどうかは確かめてみないと。

ということで、やってみた。
ぐちゃぐちゃな文字を指定してやると、当然の如く、イケテルIDが貰え・・・
1.PNG
(つд⊂)ゴシゴシ

(;゚ Д゚)!?2つ?

Reload!
2.png
(;゚ Д゚)!?新規ID?

どうも、InMemoryのJSESSIONとDiskに書き込まれたJSESSIONが出ている気がする。
(ツール-開発者ツール から Cookieを表示させると、document.cookie.write で書き込んだ方しか見えない)
3.PNG
参ったな、こりゃ。
ぐちゃぐちゃなJSESSIONIDを踏ませ、100年ぐらいのexpireにしとけばいつまで経ってもログインできない
ブラウザの完成
」ということだよなぁ。セコイ攻撃だけどなぁ。
もうちょっと調べるか。パケットとWebSphereトレースやな。

トレースのやり方メモしとこかいな。
http://www-01.ibm.com/support/docview.wss?uid=swg21192604


posted by koteitan at 18:54| Comment(0) | TrackBack(0) | WebSphere | このブログの読者になる | 更新情報をチェックする