SV.SESSION.FIXATION.COOKIE

cookie は、セッションの固定化に対して脆弱であってはなりません。

汚染された値を使用して JSESSIONID クッキーが設定されると、Klocwork が SV.SESSION.FIXATION.COOKIE の欠陥を報告します。

脆弱性とリスク

攻撃者は、汚染データを cookie で使用することにより、セッション ID を既知の値に設定し、自分も被害者のセッションを利用できるようにすることができます。そうすることで、攻撃者は機密情報に不正アクセスできるようになります。

軽減と防止

汚染データが JSESSIONID cookie で使用されないようにします。

脆弱コード例

1
2
3
4
5
6
7
8
9
10
11
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.*;
import java.io.IOException;
 
public class Test {
 
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException {
        String value = req.getParameter("value");
        Cookie cookie = new Cookie("jsessionid", value);  // SV.SESSION.FIXATION.COOKIE
    }
}

要求に含まれている汚染データを使用して cookie のセッション ID が設定されているため、Klocwork が 9 行目で SV.SESSION.FIXATION.COOKIE 欠陥を報告します。

修正コード例

1
2
3
4
5
6
7
8
9
10
11
12
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.*;
import java.io.IOException;
 
public class Test {
 
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException {
        SecureRandom secureRandom = SecureRandom.getInstance("NativePRNG");
        long value = secureRandom.nextLong();
        Cookie cookie = new Cookie("jsessionid", value);
    }
}

JSESSIONID cookie がランダムな値に設定されるので、Klocwork で SV.SESSION.FIXATION.COOKIE 欠陥が報告されなくなります。

関連チェッカー

• SV.SPRING.FIXATION

外部参考資料

• CERT MSC11-J: サーブレット内でセッション情報を漏洩させない
• CWE-384: セッションの固定化
• OWASP A2:2017 認証の不備
• OWASP A7:2021 識別と認証の失敗
• V-222577 (APSC-DV-002230): アプリケーションは、セッション ID を公開してはなりません。
• V-222578 (APSC-DV-002240): アプリケーションは、ログオフ時またはブラウザーの終了時に、セッション ID 値および/または cookie を完全に破棄する必要があります。

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。

• 「公開されたセッショントークン」トレーニングビデオ - トレーニングサンプルを使用してスキルをテストします