アーティクル - CS376503
ThingWorx Platform 上の特定のリソースにアクセスするときに、URL 内で渡されるセッション ID/トークン
修正日: 16-Sep-2022
適用対象
- ThingWorx Platform 8.5 to 9.3
説明
- セッション ハイジャック攻撃は、有効なセッション トークンを盗むか予測することでセッション トークンを侵害し、WebServer への不正アクセスを取得します。
- ThingWorx Platform セッション ID は Cookie として保存され、低レベルのユーザーはこのセッション ID を使用して最高の特権アクセスを取得できます
- ThingWorx は、セッション トークンのハイジャックに対して脆弱です
- URL にセッション トークンを含めると、ユーザーは、トラフィックが発生した場合にセッションがハイジャックされるリスクにさらされます。
攻撃者に捕まるはずだった - セッション トークンを URL に配置すると、攻撃者にキャプチャされるリスクが高まります。
- ThingWorx Platform は、リソースにアクセスするときに URL 内にセッション ID を提示すべきではありません
最新バージョンはこちらを参照ください CS376503