Exploitation of Trusted Credentials
CAPEC-21:信頼された資格情報の悪用
引用元:
説明:
有効なユーザのセッションIDを偽装し、認証されたユーザになりすます攻撃。
推測しやすいセッションIDとしては、以下がある。
・不十分なランダム性
・不十分な保護(平文で渡される)
・完全性の欠如(符号なし)
関連する弱点:
CWE-ID | Weakness Name |
---|---|
290 | Authentication Bypass by Spoofing |
302 | Authentication Bypass by Assumed-Immutable Data |
346 | Origin Validation Error |
539 | Information Exposure Through Persistent Cookies |
6 | J2EE Misconfiguration: Insufficient Session-ID Length |
384 | Session Fixation |
664 | Improper Control of a Resource Through its Lifetime |
602 | Client-Side Enforcement of Server-Side Security |
642 | External Control of Critical State Data |