사이버 보안: 불충분한 세션 만료란?

정의

불충분한 세션 만료(Insufficient Session Expiration)는 보안 취약점으로, 세션 기간이 적절하게 설정되지 않아 세션이 오랜 시간 동안 유지되어 있는 상태를 말합니다. 이로 인해 공격자가 탈취한 세션을 악용하거나, 사용자가 로그아웃해도 세션이 여전히 유효한 상태로 남아있어 불법적인 접근을 가능케 할 수 있습니다.

취약점 발생 지점 리스트

• 세션이 필요한 모든 페이지

취약점 검증 방법

• 로그아웃한 상태에서 마이페이지 접근시 세션이 남아 있는지 확인

공격법

공격 시나리오

1. 공격자는 불충분한 세션 만료 설정으로 인해 세션이 오랜 기간 유지되고 있는 것을 파악합니다.
2. 사용자가 로그아웃하더라도 세션이 여전히 유효한 상태인 경우, 공격자는 탈취한 세션을 악용하여 사용자로 위장하여 애플리케이션에 접근합니다.
3. 공격자는 불법적인 작업을 수행하거나 사용자의 권한을 남용할 수 있습니다.

발생 과정

세부 과정 설명

1. 사용자(User)가 애플리케이션(Application)에 로그아웃 요청을 합니다.
2. 애플리케이션은 로그아웃 요청을 받아 세션을 만료 처리합니다.
3. 그러나 불충분한 세션 만료 설정으로 인해 세션은 여전히 유효한 상태입니다.
4. 공격자(Attacker)는 탈취한 세션을 사용하여 애플리케이션에 접근하는 요청을 전송합니다.
5. 애플리케이션은 공격자의 요청을 처리합니다.

대응방법

• 적절한 세션 만료 설정을 구현합니다. 세션 유효 기간을 설정하고, 사용자의 비활동 시간에 따라 세션을 자동으로 만료시킵니다.
• 로그아웃 요청 시 세션을 적절하게 만료 처리합니다.