セッションハイジャック

セッションハイジャックとは、コンピュータネットワーク通信におけるセッションを、通信当事者以外が乗っ取る攻撃方法です。HTTPにおけるWebセッションのハイジャックをこう呼ぶことがほとんどです。
セッションハイジャックとは、原則にあてはまらないものもあるが、大多数のネットワーク通信には双方向といった基本的な条件があり、両方を備えたものもたくさん存在します。双方向や連続の通信の場合、どこからどこまでが一連の通信であるかをはっきりするため、通信の開始、実際のデータのやり取り、通信の終了といった順序でひとつながりの通信を管理することがほとんどで、このようなひとつながりの通信をセッションと言います。そのような順序で確立されたセッションを、通信当事者以外が乗っ取る攻撃方法つまりセッションハイジャックです。
セッションハイジャックとは、HTTP はステートレスなプロトコルです。いくらセッションの概念を取り入れたところでこれは変えられないです。セッションの乗っ取りを防ぐシステムとしてセッションIDと言われるシステムを使ってセッション管理することがほとんどですが、仮にクライアントがリクエストを送信し、セッションIDが発行されます。クライアントがこのセッションIDを利用してリクエストを送信とするとレスポンスが返ってきます。ところが乗っ取る者が、同様のセッションIDを使ってリクエストと同様のリクエストを送信すると、レスポンスと同様の内容のレスポンスが乗っ取る者に返ってきます。そのため、セッションIDを得ることができ、そしてセッションIDを使ってまるで通信当事者であるかのように通信を装うとすることが可能ならばセッションハイ ジャックが成立します。つまり普通であればクライアントだけしか拝見されないはずのページを攻撃者も拝見することが可能になってしまいます。しかもあたかも当事者のようにこれからの処理を続けることも可能になります。このセッションを奪い取ることを目的とした手段がセッションハイジャックです。

お見積もりフォーム