인증 및 세션 관리 취약점 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
1번째 줄: | 1번째 줄: | ||
'''Broken Authentication and Session Management''' | '''Broken Authentication and Session Management''' | ||
*[[OWASP Top 10|OWASP Top 10(2013)]] 2번째 항목 | * [[OWASP Top 10|OWASP Top 10(2013)]] 2번째 항목 | ||
인증과 세션 관리와 관련된 기능이 정확하게 구현되어 있지 않아서, 공격자가 패스워드, 키 또는 세션 토큰을 해킹 하여 다른 사용자 ID로 가장 할 수 있는 취약점 | 인증과 세션 관리와 관련된 기능이 정확하게 구현되어 있지 않아서, 공격자가 패스워드, 키 또는 세션 토큰을 해킹 하여 다른 사용자 ID로 가장 할 수 있는 취약점 | ||
==공격 유형 예시== | == 공격 유형 예시 == | ||
'''Url에 세션 정보가 노출 되도록 코딩하는 경우''' | '''Url에 세션 정보가 노출 되도록 코딩하는 경우''' | ||
*<nowiki>http://xxxxx.com/resceve:sessionid=intadd?dets=qq</nowiki> 등 | * <nowiki>http://xxxxx.com/resceve:sessionid=intadd?dets=qq</nowiki> 등 | ||
'''세션 유지 취약점''' | '''세션 유지 취약점''' | ||
*공공장소의 컴퓨터에서 사용되는 어플리케이션에서 세션 타임아웃이 없고, 로그아웃을 하지 않고 단순히 | * 공공장소의 컴퓨터에서 사용되는 어플리케이션에서 세션 타임아웃이 없고, 로그아웃을 하지 않고 단순히 브라우져만 닫는 경우 세션이 유지 되는 경우 | ||
'''쿠키 변조''' | '''쿠키 변조''' | ||
*쿠키를 사용하는 웹페이지의 경우 쿠키를 암호화 할 때 취약한 암호를 사용하는 경우 | * 쿠키를 사용하는 웹페이지의 경우 쿠키를 암호화 할 때 취약한 암호를 사용하는 경우 | ||
==참고 문헌== | == 참고 문헌 == | ||
*[https://intadd.tistory.com/100 OWASP 취약점 정리(2/10) 인증 및 세션 관리 취약점] | * [https://intadd.tistory.com/100 OWASP 취약점 정리(2/10) 인증 및 세션 관리 취약점] |