セッション管理の不備 2016/10/26 セッションIDを推測が困難なものにする セッションIDをURLパラメータに格納しない ASP.NET MVCではクッキーレスのセッションはサポート外。 HTTPS通信で利用するCookieにはsecure属性を加える ログイン成功後に、新しくセッションを開始する ログイン成功後に、既存のセッションIDとは別に秘密情報を発行し、ページの遷移ごとにその値を確認する
