세션 식별자 (2) 썸네일형 리스트형 사이버 보안: 세션 예측이란? 정의 세션 예측(Session Prediction)은 보안 취약점으로, 공격자가 세션 식별자를 예측하여 다른 사용자의 세션을 탈취하거나 위조하는 공격을 말합니다. 세션 식별자는 보통 쿠키, 토큰 또는 세션 ID와 같은 형태로 사용되며, 이를 통해 사용자의 인증 상태를 유지하고 세션을 관리합니다. 취약점 발생 지점 리스트 세션이 적용되는 모든 페이지 취약점 검증 방법 세션발급에 일정한 알고리즘이 존재하고, 예측이 쉬울때 세션발급이 로그인시 새롭게 발급되는지 확인 아이디가 다른것에 따라 세션이 관련이 있는지 확인 시간에 따라 세션이 관련이 있는지 확인 세션이 변하지 않는지 확인 암호화 확인(md5 사용X, DES, SHA 등등) 공격법 공격 시나리오 공격자는 세션 식별자를 예측하기 위해 다양한 기법을 사용합.. 사이버 보안: 세션 고정이란? 정의 세션 고정(Session Fixation)은 웹 응용 프로그램 보안에서 발생할 수 있는 취약점 중 하나입니다. 이 취약점은 공격자가 사용자의 세션 식별자(session identifier)를 제어하여 인증된 세션에 접근할 수 있는 상황을 의미합니다. 취약점 발생 지점 리스트 세션을 발행하는 페이지 세션이 있어야만(인가를 받아야지만) 들어갈수 있는 페이지 취약점 검증 방법 발급된 세션이 로그아웃후 다시 로그인 해도 똑같은 경우 로그인하기 전의 세션과 로그인한 후의 세션이 똑같은 경우 세션을 재발급 안하는 경우(응답에서 set cookie)가 존재하지 않는 경우. 공격법 공격 시나리오 공격자는 로그인해서 세션 식별자를 생성합니다. 사용자에게 이 세션 식별자를 강제로 전달합니다. 사용자가 웹 응용 프로그.. 이전 1 다음
