불충분한 세션 만료
개념
세션 타임아웃 기능이 구현되어있지않는 취약점입니다.
발생 원인
불충분한 보안 대책으로 인해 발생합니다.
위험한 이유
공격자가 만료되지 않은 세션을 활용해 불법적인 접근을 진행할 수 있습니다. 만약 성공할 경우 데이터 열람 및 탈취가 가능해집니다.
조치 방법
- 세션 타임아웃 구현 시 시간을 10분으로 설정할 것을 권고합니다.
세션 고정
개념
사용자의 세션 ID를 항상 고정된 세션 ID로 발급하는 취약점입니다.
발생 원인
불충분한 보안 대책으로 인해 발생합니다.
위험한 이유
항상 고정된 세션 ID가 발급된다면 세션 ID가 도용될 경우 비인가자의 접근 및 권한 우회가 가능해집니다.
조치 방법
- 로그인할 때마다 예측 불가능한 새로운 세션 ID를 발급받도록 해야 하고 기존 세션 ID는 파기해야 합니다.
'주요정보통신기반 시설 가이드' 카테고리의 다른 글
| 파일 업로드와 파일 다운로드 (0) | 2024.03.21 |
|---|---|
| 자동화 공격과 프로세스 검증 누락 (0) | 2024.03.20 |
| 불충분한 인가란? (0) | 2024.03.20 |
| 세션 예측이란? (0) | 2024.03.19 |
| 크로스사이트 리퀘스트 변조(CSRF)란? (0) | 2024.03.19 |