SESSION 대응방안

개요

공격자는 Web 사이트에 액세스하여 세션 ID 를 가져옵니다. 서버에서 이 세션 ID의 소유자는 GUEST로 연결 됩니다.
그런 다음 공격자는 획득 한 세션 ID를 사용하여 유저가 사이트에 액세스하도록 메일 등을 이용하여 피해자를 유도합니다.
유저는 메일 등의 링크로 공격자의 세션 ID를 사용한 상태에서 사이트에 로그인하도록 합니다.
피해자가 로그인 을 하면 서버에서 세션 ID와 피해자의 계정이 연결됩니다.
공격자는 피해자가 로그인 했을 무렵을 가늠하고 로그인 후 Web 페이지에 액세스 합니다.
그러면 공격자가 획득 한 세션 ID가 피해자 의 계정에 연결되었기 때문에 피해자 행세를 사이트에 접근 할 수 있습니다.

 

공격

http://online.worldbank.dom/login.jsp?session=1234.

 

대응방안

◆ 세션 재발급
사용자 로그인시 항상 일정하게 고정된 세션 ID 값을 사용하는 취약점으로 로그인시 세션마다 새로운 세션 ID가 발행되지 않는다면
세션 ID를 도용한 비인가자의 접근 및 권한 우회가 가능하므로 세션 ID의 타임아웃 기능을 설정하고 세션 ID의 고정 사용을 방지하도록 설정합니다.

취약: 로그인 세션 ID가 고정으로 사용되는 경우
권장: 로그인별 세션 ID가 발행되는 경우

로그인 전후로 세션을 재발급합니다.

By | 2018-01-18T17:22:55+00:00 10월 24th, 2017|Categories: Tech|0 Comments