개념
세션 ID가 일정한 패턴을 가지고 있는 취약점입니다.
세션: 일정 시간 동안 같은 사용자(브라우저)로부터 들어오는 일련의 요구를 하나의 상태로 보고 그 상태를 일정하게 유지하는 기술
발생 원인
불충분한 보안 대책으로 인해 발생합니다.
위험한 이유
세션 ID가 일정한 패턴을 가지고 있으면 공격자가 세션 ID를 추측하여 부적절한 접근을 시도할 수 있습니다. 만약 성공할 경우 데이터 조작이나 탈취 같은 피해가 발생합니다.
조치 방법
- 길이가 길고 복잡한 항목으로 세션 ID가 만들어져도 공격자가 충분한 시간과 자원이 있다면 뚫는 것은 불가능하지 않으므로 강력한 세션 ID가 만들어져야 합니다. 주된 목적은 수많은 대역폭과 처리 자원을 가지고 있는 공격자가 하나의 유효한 세션 ID를 추측하는데 최대한 오랜 시간이 걸리게 하여 쉽게 추측하지 못하게 하는 것에 있습니다.
- 단순 조합보단 상용 웹 서버나 웹 APP 플랫폼에서 제공하는 세션 ID를 사용하고, 가능하다면 맞춤형 세션 관리 체계를 권고합니다.
- 세션 ID는 로그인 시마다 추측할 수 없는 새로운 세션 ID로 발급하여야 합니다.
추가 정보
세션과 쿠키의 차이점: 세션은 서버에 저장되고 쿠키는 클라이언트에게 저장됩니다. 또한, 세션은 브라우저가 종료되면 만료되지만 쿠키는 별도의 만료 시간을 지정하지않으면 계속 유지됩니다
'주요정보통신기반 시설 가이드' 카테고리의 다른 글
| 불충분한 세션 만료와 세션 고정 (0) | 2024.03.20 |
|---|---|
| 불충분한 인가란? (0) | 2024.03.20 |
| 크로스사이트 리퀘스트 변조(CSRF)란? (0) | 2024.03.19 |
| 취약한 패스워드 복구란? (0) | 2024.03.17 |
| 불충분한 인증이란? (0) | 2024.03.17 |