Django Bad Practices: Cookie Stored Sessions

Python

Abstract

ユーザーがログアウトしたとき、cookie 基準のセッションは無効になりません。攻撃者がユーザーの cookie を見つけて盗もうとするとき (傍受しようとするとき)、ユーザーがログアウトしていたとしても、そのユーザーになりすますことができます。

Explanation

cookie にセッションデータを保存することはいくつかの問題につながります。

1. ユーザーがログアウトしたとき、cookie 基準のセッションは無効になりません。攻撃者がユーザーの cookie を見つけて盗もうとするとき (傍受しようとするとき)、ユーザーがログアウトしていたとしても、そのユーザーになりすますことができます。

2. 改ざんを防止し、データが本物であることを保証する目的でセッションの cookie には署名が付きますが、反射攻撃は防げません。

3. セッションデータは Django の暗号署名と SECRET_KEY 設定のためのツールを利用して保存されます。SECRET_KEY が漏洩された場合、攻撃者はセッションデータを改ざんできるだけでなく、アプリケーションが Pickle を利用してセッションデータをシリアライズして cookie に渡す場合、デシリアライゼーションのときに任意のコードを実行する、悪意のある Pickle 化データを作成できます。

4. セッションデータは署名されますが、暗号化されません。つまり、攻撃者はセッションデータを読むことができても改ざんすることはできません。

5. cookie サイズとシリアライゼーションプロセスは、サイトの負荷によっては、パフォーマンス問題を引き起こす可能性があります。

References

[1] Django Foundation Using cookie-based sessions

[2] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001185

[3] Standards Mapping - General Data Protection Regulation (GDPR) Access Violation

[4] Standards Mapping - NIST Special Publication 800-53 Revision 4 AU-10 Non-Repudiation (P2), SC-23 Session Authenticity (P1)

[5] Standards Mapping - NIST Special Publication 800-53 Revision 5 AU-10 Non-Repudiation, SC-23 Session Authenticity

[6] Standards Mapping - OWASP API 2023 API5 Broken Function Level Authorization

[7] Standards Mapping - OWASP Mobile 2024 M8 Security Misconfiguration

[8] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002240 CAT I

[9] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002240 CAT I

[10] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002240 CAT I

[11] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002240 CAT I

[12] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002240 CAT I

[13] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002240 CAT I

[14] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002240 CAT I

[15] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002240 CAT I

[16] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002240 CAT I

[17] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002240 CAT I

[18] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002240 CAT I

[19] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002240 CAT I

[20] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002240 CAT I

[21] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-000590 CAT II, APSC-DV-002240 CAT I

[22] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-000590 CAT II, APSC-DV-002240 CAT I

[23] Standards Mapping - Web Application Security Consortium Version 2.00 Application Misconfiguration (WASC-15)

desc.structural.python.django_bad_practices_cookie_stored_sessions