개요

공격자는 Web 사이트에 액세스하여 세션 ID 를 가져옵니다. 서버에서 이 세션 ID의 소유자는 GUEST 로 연결됩니다.
그런 다음 공격자는 획득 한 세션 ID 를 사용하여 유저가 사이트에 액세스하도록 메일 등을 이용하여 피해자를 유도합니다.
유저는 메일 등의 링크로 공격자의 세션 ID 를 사용한 상태에서 사이트에 로그인하도록 합니다.
피해자가 로그인을 하면 서버에서 세션 ID와 피해자의 계정이 연결됩니다.
공격자는 피해자가 로그인했을 무렵을 가늠하고 로그인 후 Web 페이지에 액세스합니다.
그러면 공격자가 획득한 세션 ID 가 피해자의 계정에 연결되어있기 때문에 피해자 행세를 통해 사이트에 접근할 수 있습니다.

 

공격

http://online.worldbank.dom/login.jsp?session=1234.

 

대응방안

◆ 세션 재발급
사용자 로그인 시 항상 일정하게 고정된 세션 ID 값을 사용하는 취약점으로 로그인 시 세션마다 새로운 세션 ID 가 발행되지 않는다면
세션 ID 를 도용한 비인가자의 접근 및 권한 우회가 가능하므로 세션 ID 의 타임아웃 기능을 설정하고 세션 ID 의 고정 사용을 방지하도록 설정합니다.

취약 : 로그인 세션 ID 가 고정으로 사용되는 경우
권장 : 로그인별 세션 ID 가 발행되는 경우

로그인 전후로 세션을 재발급합니다.