#pgid();
**目次 [#s47f3d21]
#contents
** セッションについて調べる [#h4ce2fec]
|カテゴリー|勉強|
|優先順位|至急|
|イテレーション|[[イテレーション1]]|
|状態|完了|
|完了予定日||
|工数||
|対応者|清原|
----
** 課題 [#lab3a43f]
PHP: セッション処理関数(session) - Manual
http://jp.php.net/manual/ja/ref.session.php
を''みっちり''読んで理解する
とくに、
- 仕組みについて
-- セッションIDを使うということ
-- オブジェクトシリアライズを内部的に使っているということ
(こういうことを知っていると
シリアライズされた文字列を見てデバッグするとか
ラブルシューティングができるようになります。
あと、実現できること、できないことがイメージできたり。)
-- 有効期限とか、細かい仕様について
- 脆弱性について
-- クッキーとURLパラメータ
-- Session ハイジャックについて
-- Session Fixationについて
** 確認 [#i9e1f239]
*** セッションIDとは何か? [#i7d48f4a]
-セッションを管理する上で利用する識別番号
-サーバがクライアントごとに発行する。
-セッションIDの搬送方法には以下の3種が存在する。
--URLリライティング
--HTTP Cookie
--hiddenフィールド
参考
-[[[ThinkIT] :セッション乗っ取り >http://www.thinkit.co.jp/free/tech/7/4/]]
*** シリアライズとは何か? [#ncd7884d]
-アプリケーション中のデータやオブジェクトをファイルやネットワークに書き込める形に変換する事。シリアル化
*** どのようにしてシリアライズされたセッションの情報が見ることができるのか? [#o43797aa]
*** シリアライズされた情報はどのような形式になっているのか? [#a3b6a770]
-閲覧出来る文字列形式
***セッションの有効期限はどのようにして確認できるのか? [#rfc493d5]
-phpinfo関数
***セッションの有効期限はどのようにして設定することができるのか? [#ja10fada]
-PHPスクリプト内で設定変更する
ini_set('session.gc_maxlifetime', '秒');
-php.iniで設定変更する
session.gc_maxlifetime = 秒
-httpd.confや.htaccessで設定変更する
<Directory "......">
php_value session.gc_maxlifetime 秒
</Directory>
*** セッションに関する脆弱性にはどのようなものがあるか? [#r3dbc8b3]
-Session ハイジャック
-Session Fixation
-XSS
*** Session ハイジャックとはどのようなものか? [#fa2da15f]
-他人が確立したセッションを横取りし、攻撃者はそのユーザになりすまし、アクセスを行う行為
*** Session Fixationとはどのようなものか? [#y7769439]
-攻撃者は盗聴・傍受せずに任意のセッションIDをユーザに使わせることにより、被害者のセッションへのアクセスをはじめから押さえてしまう攻撃
![[ARK-Web SandBox]](image/sandbox.gif "[ARK-Web SandBox]")
