Exploitation of Trusted Credentials
CAPEC-21:信頼された資格情報の悪用
引用元:
説明:
有効なユーザのセッションIDを偽装し、認証されたユーザになりすます攻撃。
推測しやすいセッションIDとしては、以下がある。
・不十分なランダム性
・不十分な保護(平文で渡される)
・完全性の欠如(符号なし)
関連する弱点:
| CWE-ID | Weakness Name |
|---|---|
| 290 | Authentication Bypass by Spoofing |
| 302 | Authentication Bypass by Assumed-Immutable Data |
| 346 | Origin Validation Error |
| 539 | Information Exposure Through Persistent Cookies |
| 6 | J2EE Misconfiguration: Insufficient Session-ID Length |
| 384 | Session Fixation |
| 664 | Improper Control of a Resource Through its Lifetime |
| 602 | Client-Side Enforcement of Server-Side Security |
| 642 | External Control of Critical State Data |
