인증 및 세션 관리 취약점: Difference between revisions
From IT Wiki
(새 문서: '''Broken Authentication and Session Management''' * OWASP Top 10(2013) 2번째 항목 인증과 세션 관리와 관련된 기능이 정확하게 구현되어 있...) |
(브라우져 -> 브라우저) |
||
| Line 1: | Line 1: | ||
'''Broken Authentication and Session Management''' | '''Broken Authentication and Session Management''' | ||
* [[OWASP Top 10|OWASP Top 10(2013)]] 2번째 항목 | *[[OWASP Top 10|OWASP Top 10(2013)]] 2번째 항목 | ||
인증과 세션 관리와 관련된 기능이 정확하게 구현되어 있지 않아서, 공격자가 패스워드, 키 또는 세션 토큰을 해킹 하여 다른 사용자 ID로 가장 할 수 있는 취약점 | 인증과 세션 관리와 관련된 기능이 정확하게 구현되어 있지 않아서, 공격자가 패스워드, 키 또는 세션 토큰을 해킹 하여 다른 사용자 ID로 가장 할 수 있는 취약점 | ||
== 공격 유형 예시 == | ==공격 유형 예시== | ||
'''Url에 세션 정보가 노출 되도록 코딩하는 경우''' | '''Url에 세션 정보가 노출 되도록 코딩하는 경우''' | ||
* <nowiki>http://xxxxx.com/resceve:sessionid=intadd?dets=qq</nowiki> 등 | *<nowiki>http://xxxxx.com/resceve:sessionid=intadd?dets=qq</nowiki> 등 | ||
'''세션 유지 취약점''' | '''세션 유지 취약점''' | ||
* 공공장소의 컴퓨터에서 사용되는 어플리케이션에서 세션 타임아웃이 없고, 로그아웃을 하지 않고 단순히 | *공공장소의 컴퓨터에서 사용되는 어플리케이션에서 세션 타임아웃이 없고, 로그아웃을 하지 않고 단순히 브라우저만 닫는 경우 세션이 유지 되는 경우 | ||
'''쿠키 변조''' | '''쿠키 변조''' | ||
* 쿠키를 사용하는 웹페이지의 경우 쿠키를 암호화 할 때 취약한 암호를 사용하는 경우 | *쿠키를 사용하는 웹페이지의 경우 쿠키를 암호화 할 때 취약한 암호를 사용하는 경우 | ||
== 참고 문헌 == | ==참고 문헌== | ||
* [https://intadd.tistory.com/100 OWASP 취약점 정리(2/10) 인증 및 세션 관리 취약점] | *[https://intadd.tistory.com/100 OWASP 취약점 정리(2/10) 인증 및 세션 관리 취약점] | ||
Latest revision as of 15:57, 16 May 2022
Broken Authentication and Session Management
- OWASP Top 10(2013) 2번째 항목
인증과 세션 관리와 관련된 기능이 정확하게 구현되어 있지 않아서, 공격자가 패스워드, 키 또는 세션 토큰을 해킹 하여 다른 사용자 ID로 가장 할 수 있는 취약점
공격 유형 예시[edit | edit source]
Url에 세션 정보가 노출 되도록 코딩하는 경우
- http://xxxxx.com/resceve:sessionid=intadd?dets=qq 등
세션 유지 취약점
- 공공장소의 컴퓨터에서 사용되는 어플리케이션에서 세션 타임아웃이 없고, 로그아웃을 하지 않고 단순히 브라우저만 닫는 경우 세션이 유지 되는 경우
쿠키 변조
- 쿠키를 사용하는 웹페이지의 경우 쿠키를 암호화 할 때 취약한 암호를 사용하는 경우
