セッション固定攻撃自体は結構前からある手法で、phpとかはアダプションがあるので
うまくいきやすい。(指定した文字列をセッションIDとして受け付けてしまうという脅威的な機能)
アダプションを無効にしたとしても、Cookieモンスターやなんやらでイケテル文字列を用意すれば
よろしい、詳しくは徳丸本や徳丸さんのblogなどに詳しい解説がある。
ここまではよい。
で、javaだとアダプションは出来ないんだけど、イケテルIDを取得してきたらOKなのは間違いない。
アダプションもできないはずなんだけど、本当に出来ないかどうかは確かめてみないと。
ということで、やってみた。
ぐちゃぐちゃな文字を指定してやると、当然の如く、イケテルIDが貰え・・・
(つд⊂)ゴシゴシ
(;゚ Д゚)!?2つ?
Reload!
(;゚ Д゚)!?新規ID?
どうも、InMemoryのJSESSIONとDiskに書き込まれたJSESSIONが出ている気がする。
(ツール-開発者ツール から Cookieを表示させると、document.cookie.write で書き込んだ方しか見えない)
参ったな、こりゃ。
「ぐちゃぐちゃなJSESSIONIDを踏ませ、100年ぐらいのexpireにしとけばいつまで経ってもログインできない
ブラウザの完成」ということだよなぁ。セコイ攻撃だけどなぁ。
もうちょっと調べるか。パケットとWebSphereトレースやな。
トレースのやり方メモしとこかいな。
http://www-01.ibm.com/support/docview.wss?uid=swg21192604
