인증 및 세션 관리 취약점 편집하기

IT위키

경고: 로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다. 로그인하거나 계정을 생성하면 편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.

편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.

최신판 당신의 편집
1번째 줄: 1번째 줄:
'''Broken Authentication and Session Management'''  
'''Broken Authentication and Session Management'''  


*[[OWASP Top 10|OWASP Top 10(2013)]] 2번째 항목
* [[OWASP Top 10|OWASP Top 10(2013)]] 2번째 항목


인증과 세션 관리와 관련된 기능이 정확하게 구현되어 있지 않아서, 공격자가 패스워드, 키 또는 세션 토큰을 해킹 하여 다른 사용자 ID로 가장 할 수 있는 취약점
인증과 세션 관리와 관련된 기능이 정확하게 구현되어 있지 않아서, 공격자가 패스워드, 키 또는 세션 토큰을 해킹 하여 다른 사용자 ID로 가장 할 수 있는 취약점


==공격 유형 예시==
== 공격 유형 예시 ==
'''Url에 세션 정보가 노출 되도록 코딩하는 경우'''
'''Url에 세션 정보가 노출 되도록 코딩하는 경우'''


*<nowiki>http://xxxxx.com/resceve:sessionid=intadd?dets=qq</nowiki> 등
* <nowiki>http://xxxxx.com/resceve:sessionid=intadd?dets=qq</nowiki> 등


'''세션 유지 취약점'''
'''세션 유지 취약점'''


*공공장소의 컴퓨터에서 사용되는 어플리케이션에서 세션 타임아웃이 없고, 로그아웃을 하지 않고 단순히 브라우저만 닫는 경우 세션이 유지 되는 경우
* 공공장소의 컴퓨터에서 사용되는 어플리케이션에서 세션 타임아웃이 없고, 로그아웃을 하지 않고 단순히 브라우져만 닫는 경우 세션이 유지 되는 경우


'''쿠키 변조'''  
'''쿠키 변조'''  


*쿠키를 사용하는 웹페이지의 경우 쿠키를 암호화 할 때 취약한 암호를 사용하는 경우
* 쿠키를 사용하는 웹페이지의 경우 쿠키를 암호화 할 때 취약한 암호를 사용하는 경우


==참고 문헌==
== 참고 문헌 ==


*[https://intadd.tistory.com/100 OWASP 취약점 정리(2/10) 인증 및 세션 관리 취약점]
* [https://intadd.tistory.com/100 OWASP 취약점 정리(2/10) 인증 및 세션 관리 취약점]
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 IT위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소 편집 도움말 (새 창에서 열림)
원본 주소 "https://itwiki.kr/w/인증_및_세션_관리_취약점"