2017 春 午前II 問05

セッションIDの固定化 (Session Fixation) 攻撃の手口はどれか。

解説

IPA 公式公開の過去問です。

解答例や採点講評と合わせて根拠を確認してください。

選択肢

• ア: HTTPS通信でSecure属性がないCookieにセッションIDを格納するWebサイトにおいて、 HTTP通信で送信されるセッションIDを悪意のある者が盗聴する。
• イ: URLパラメタにセッションTDを格納するWebサイトにおいて、 Refererによってリンク先のWebサイトに送信されるセッションIDが含まれたURLを、 悪意のある者が盗用する。
• ウ: 悪意のある者が正規のWebサイトから取得したセッションIDを、 利用者のWebブラウザに送り込み、 利用者がそのセッションIDでログインして、 セッションがログイン状態に変わった後、 利用者になりすます。
• エ: 推測が容易なセッションIDを生成するWebサイトにおいて、 悪意のある者がセッションTDを推測し、 ログインを試みる。