[웹 취약점 진단/모의해킹/해킹] 세션 고정
- 정보보안/웹 취약점 진단
- 2022. 9. 6.
SF - 세션 고정
■ 점검내용
사용자 로그인 시 항상 일정하게 고정된 세션 ID 값을 발행하는지 여부 확인
■ 점검목적
로그인할 때마다 예측 불가능한 새로운 세션 ID를 발행하여 세션 ID의 고정 사용을 방지하기 위함
■ 보안위협
사용자 로그인 시 항상 일정하게 고정된 세션 ID가 발행되는 경우 세션 ID를 도용한 비인가자의 접근 및 권한 우회가 가능
■ 참고
※ 소스코드 및 취약점 점검 필요
점검대상 및 판단기준
■ 대상 : 웹 애플리케이션 소스코드
양호
로그인할 때마다 예측 불가능한 새로운 세션 ID가 발행되고, 기존 세션 ID는 파기될 경우
취약
로그인 세션 ID가 고정 사용되거나 새로운 세션 ID가 발행되지만 예측 가능한 패턴으로 발행될 경우
■ 조치방법
사용자가 로그인할 때마다 예측 불가능한 새로운 세션 ID 생성 로직 구현하고 기존 세션 ID는 파기함
점검 및 조치 방법
■ 점검방법
Step 1) 로그인 시(1) 세션 ID가 발행되는지 확인하고 로그아웃 후 다시 로그인(2)할 때 예측 불가능한 새로운 세션 ID가 발급되는지 확인
■ 보안설정방법
* 로그인할 때마다 예측 불가능한 새로운 세션 ID를 발급받도록 해야 하고 기존 세션 ID는 파기해야 함
■ 조치 시 영향 : 일반적인 경우 영향 없음