취약점점검- 세션 예측
2021. 1. 21. 10:38ㆍ웹취약점/그누보드
세션 예측 이란?
단순히 숫자가 증가하는 방법 등의 취약한 특정 세션의 ID를 예측하여 세션을 가로챌 수 있는 취약점
취약점개요
| 점검내용 | ■ 단순한 방법(연속된 숫자 할당 등)으로 생성되는 세션 ID를 예측하여 세션 탈취 여부 점검 |
| 점검목적 | ■ 사용자의 세션ID를 추측 불가능하도록 난수로 생성하여 공격자의 불법적인 접근을 차단하기 위함 |
| 보안위협 | ■ 사용자에게 전달하는 세션ID가 일정한 패턴을 가지고 있는 경우 공격자가 세션ID를 추측하여 불법적인 접근을 시도할 수 있음 |
점검대상 및 판단기준
| 대상 | 그누보드(localhost) |
| 판단기준 | 양호: 추측 불가능한 세션 ID가 발급되는 경우 |
| 취약: 세션 ID가 일정한 패턴으로 발급되는 경우 | |
| 조치방법 | 추측 불가능한 세션 ID가 발급되도록 로직 구현 |
점검 및 조치 사례
1} 각기 다른 IP 주소와 다른 사용자명, 시간적 차이로 세션 ID를 발급받음
※보안설정방법
-세션 ID는 로그인 시마다 추측할 수 없는 새로운 세션 ID로 발급하여야함
-단순 조합 보다는 상용 웹서버나 웹 애플리케이션 플래폼에서 제공하는 세션ID를 사용하고, 가능하다면 맞춤형 세션 관리 매커니즘을 권고
참고
www.kisa.or.kr/public/laws/laws3_View.jsp?cPage=6&mode=view&p_No=259&b_No=259&d_No=106&ST=T&SV=
기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원
기술안내서 가이드
www.kisa.or.kr
'웹취약점 > 그누보드' 카테고리의 다른 글
| 취약점점검- 세션 고정 (0) | 2021.01.25 |
|---|---|
| 취약점점검- 불충분한 세션 만료 (0) | 2021.01.22 |
| 취약점점검- 크로스사이트 리퀘스트 변조(CSRF) (0) | 2021.01.20 |
| 취약점점검- 취약한 패스워드 복구 (0) | 2021.01.19 |
| 취약점진단- 불충분한 인증 (0) | 2021.01.18 |