![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#contents *GET,POST [#w7a62b0e] GETで渡す情報にユーザーの身元が特定できるものを不必要につけてはいけない。同じ情報をPOSTにしてもHTTPヘッダーモニターツール(LiveHttpHeaders)などでいくらでも改ざんできるのでログインの曲面以後はセッションを利用すべきである。 *セッションの受け渡し [#f90271aa] 言語標準でセッション管理が備わっている場合はあまり意識しなくていい。ただし携帯開発などではCOOKIEが使えないので、GETパラメータに加えるように変更する必要がある。スタティックなページでもセッションを維持できる方法がある。それは上位ディレクトリにセッションIDを埋め込んでおいて、mod_rewriteで書き換えるのである。 http://rutake.com/9803/index.php →index.php?session=9803 *セッションハイジャック [#v2126031] セッションIDを盗んで他人のログイン後の画面に侵入するものである。漏洩パターン配下のとおり +単純なセッションID付与による類推(単なる連番とか) +REFERERによるセッションIDの取得 +XSSなどによるCOOKIE情報の取得 *perlの汚染検出オプション [#hb87bf6c] 汚染文字列の危険性のチェックをしてくれるモード perl -T #counter
