none
セッションIDが別の人に割りふられる RRS feed

  • 質問

  • 運用しているIIS8.5で動作するWebサイトにて、
    発行されたセッションIDが別の人に割りふられ、別の人の情報が見えてしまうという事象が発生しました
    セッションIDの発行は.net Framawork4.6.1で行い、SQLServer2012R2(Standard)で管理しています。
     
    セッションID自体はDBで一意に管理されていたことは確認できましたが、別の人に割り当てる事象の原因がわかりません。

    状況証拠として、その時間帯にアプリケーションプールがクラッシュしたかのようなエラーが多数出力されておりました。
    (本来は存在するはずのデータセットのカラムが存在しないかのようなエラー連続して発生)
    その瞬間のメモリダンプは取得できなかったので、別の時間帯で取得したメモリダンプを確認すると、
    「System.Web.ni.dll」へのAccessViolationException が出ている箇所がありました。
    セッションIDの取り違えと因果関係はわかりませんが、アプリケーションプールがクラッシュするとそういった事象が発生することはありますか?
    • 編集済み jastprj 2019年8月9日 9:54
    2019年8月9日 9:54

すべての返信

  • 継続して調査している追加の情報です。

    プリケーションプールがクラッシュした瞬間のメモリダンプを解析した結果、

    「KERNELBASE.dll」「System.Data.ni.dll」へのAccessViolationExceptionが出力されていました。

    ただ、このエラーだけでセッションの問題は起こってはおらず、事象発生時はCPU負荷が100%になるなど、非常に高い状態でした。



    2019年8月30日 4:14