清原研修/6 のバックアップ(No.2) : アークウェブWebマーケティングSandBox

バックアップ一覧
ソースを表示
清原研修/6 は削除されています。
- 1 (2007-08-16 (木) 14:40:44)
- 2 (2007-08-16 (木) 17:22:53)

清原研修/6?

目次 †

目次
セッションについて調べる
課題
確認

セッションについて調べる †

カテゴリー	勉強
優先順位	至急
イテレーション	イテレーション1?
状態	完了
完了予定日
工数
対応者	清原

↑

[edit]

課題 †

PHP: セッション処理関数(session) - Manual
http://jp.php.net/manual/ja/ref.session.php
をみっちり読んで理解する

とくに、

仕組みについて
- セッションIDを使うということ
- オブジェクトシリアライズを内部的に使っているということ
  (こういうことを知っていると
  シリアライズされた文字列を見てデバッグするとか
  ラブルシューティングができるようになります。
  あと、実現できること、できないことがイメージできたり。)
- 有効期限とか、細かい仕様について

脆弱性について
- クッキーとURLパラメータ
- Session ハイジャックについて
- Session Fixationについて

↑

[edit]

確認 †

↑

[edit]

セッションIDとは何か？ †

セッションを管理する上で利用する識別番号
サーバがクライアントごとに発行する。
セッションIDの搬送方法には以下の３種が存在する。
- URLリライティング
- HTTP Cookie
- hiddenフィールド

参考

[ThinkIT] ：セッション乗っ取り

↑

[edit]

シリアライズとは何か？ †

アプリケーション中のデータやオブジェクトをファイルやネットワークに書き込める形に変換する事。シリアル化

↑

[edit]

どのようにしてシリアライズされたセッションの情報が見ることができるのか？ †

↑

[edit]

シリアライズされた情報はどのような形式になっているのか？ †

閲覧出来る文字列形式

↑

[edit]

セッションの有効期限はどのようにして確認できるのか？ †

phpinfo関数

↑

[edit]

セッションの有効期限はどのようにして設定することができるのか？ †

PHPスクリプト内で設定変更する
```
ini_set('session.gc_maxlifetime', '秒');
```
php.iniで設定変更する
```
session.gc_maxlifetime = 秒
```

httpd.confや.htaccessで設定変更する

<Directory "......">
   php_value session.gc_maxlifetime 秒
</Directory>

↑

[edit]

セッションに関する脆弱性にはどのようなものがあるか？ †

Session ハイジャック
Session Fixation
XSS

↑

[edit]

Session ハイジャックとはどのようなものか？ †

他人が確立したセッションを横取りし、攻撃者はそのユーザになりすまし、アクセスを行う行為

↑

[edit]

Session Fixationとはどのようなものか？ †

攻撃者は盗聴・傍受せずに任意のセッションIDをユーザに使わせることにより、被害者のセッションへのアクセスをはじめから押さえてしまう攻撃

アークウェブWebマーケティングSandBox

目次 †

セッションについて調べる †

課題 †

確認 †

セッションIDとは何か？ †

シリアライズとは何か？ †

どのようにしてシリアライズされたセッションの情報が見ることができるのか？ †

シリアライズされた情報はどのような形式になっているのか？ †

セッションの有効期限はどのようにして確認できるのか？ †

セッションの有効期限はどのようにして設定することができるのか？ †

セッションに関する脆弱性にはどのようなものがあるか？ †

Session ハイジャックとはどのようなものか？ †

Session Fixationとはどのようなものか？ †

アークウェブのサービスやソリューションはこちら