인증 및 세션 관리 취약점: 두 판 사이의 차이

IT위키
(새 문서: '''Broken Authentication and Session Management''' * OWASP Top 10(2013) 2번째 항목 인증과 세션 관리와 관련된 기능이 정확하게 구현되어 있...)
 
(브라우져 -> 브라우저)
 
1번째 줄: 1번째 줄:
'''Broken Authentication and Session Management'''  
'''Broken Authentication and Session Management'''  


* [[OWASP Top 10|OWASP Top 10(2013)]] 2번째 항목
*[[OWASP Top 10|OWASP Top 10(2013)]] 2번째 항목


인증과 세션 관리와 관련된 기능이 정확하게 구현되어 있지 않아서, 공격자가 패스워드, 키 또는 세션 토큰을 해킹 하여 다른 사용자 ID로 가장 할 수 있는 취약점
인증과 세션 관리와 관련된 기능이 정확하게 구현되어 있지 않아서, 공격자가 패스워드, 키 또는 세션 토큰을 해킹 하여 다른 사용자 ID로 가장 할 수 있는 취약점


== 공격 유형 예시 ==
==공격 유형 예시==
'''Url에 세션 정보가 노출 되도록 코딩하는 경우'''
'''Url에 세션 정보가 노출 되도록 코딩하는 경우'''


* <nowiki>http://xxxxx.com/resceve:sessionid=intadd?dets=qq</nowiki> 등
*<nowiki>http://xxxxx.com/resceve:sessionid=intadd?dets=qq</nowiki> 등


'''세션 유지 취약점'''
'''세션 유지 취약점'''


* 공공장소의 컴퓨터에서 사용되는 어플리케이션에서 세션 타임아웃이 없고, 로그아웃을 하지 않고 단순히 브라우져만 닫는 경우 세션이 유지 되는 경우
*공공장소의 컴퓨터에서 사용되는 어플리케이션에서 세션 타임아웃이 없고, 로그아웃을 하지 않고 단순히 브라우저만 닫는 경우 세션이 유지 되는 경우


'''쿠키 변조'''  
'''쿠키 변조'''  


* 쿠키를 사용하는 웹페이지의 경우 쿠키를 암호화 할 때 취약한 암호를 사용하는 경우
*쿠키를 사용하는 웹페이지의 경우 쿠키를 암호화 할 때 취약한 암호를 사용하는 경우


== 참고 문헌 ==
==참고 문헌==


* [https://intadd.tistory.com/100 OWASP 취약점 정리(2/10) 인증 및 세션 관리 취약점]
*[https://intadd.tistory.com/100 OWASP 취약점 정리(2/10) 인증 및 세션 관리 취약점]

2022년 5월 16일 (월) 15:57 기준 최신판

Broken Authentication and Session Management

인증과 세션 관리와 관련된 기능이 정확하게 구현되어 있지 않아서, 공격자가 패스워드, 키 또는 세션 토큰을 해킹 하여 다른 사용자 ID로 가장 할 수 있는 취약점

공격 유형 예시[편집 | 원본 편집]

Url에 세션 정보가 노출 되도록 코딩하는 경우

  • http://xxxxx.com/resceve:sessionid=intadd?dets=qq 등

세션 유지 취약점

  • 공공장소의 컴퓨터에서 사용되는 어플리케이션에서 세션 타임아웃이 없고, 로그아웃을 하지 않고 단순히 브라우저만 닫는 경우 세션이 유지 되는 경우

쿠키 변조

  • 쿠키를 사용하는 웹페이지의 경우 쿠키를 암호화 할 때 취약한 암호를 사용하는 경우

참고 문헌[편집 | 원본 편집]