holysugar's posts

1. 

   (1) URL 埋め込みの セッション IDを使う

   (2) Cookie Monster を使う

   (3) HTTP ヘッダインジェクションを使う

   (4) XSS を使う

   離席中に Cookie セットする，みたいなのを読むと，まるで，女の子に無理に酒飲ませて泥酔させてさ，おいおいこいつ何するんだと思って見てたら，下着の色確認しただけで満足する，みたいな。却ってそれ，へんたーい，って感じがするのよ。

   　えっ，ユーザが ログイン したとたんに セッション IDが振り直された? あぁ，そういうサイトは狙ってもダメね。他をあたりなさい。狙えるサイトは，いくらでもあると思うよ，きっと。たぶん。

   From: とくまるひろしのSession Fixation攻撃入門 - ockeghem(徳丸浩)の日記 1

   • by holysugar
   • 2009.02.04 (Wed) 20:15
   • via Cotoe Toolbar
   • Permalink