취약점점검- 불충분한 세션 만료
2021. 1. 22. 10:43ㆍ웹취약점/그누보드
불충분한 세션 만료 란?
세션의 만료 기간을 정하지 않거나, 만료일자를 너무 길게 설정하여 공격자가 만료되지 않은 세션 활용이 가능하게 되는 취약점
취약점 개요
| 검점내용 | ■ 세션의 만료 기간 설정 여부 점검 |
| 점검목적 | ■ 세션 타임아웃 기능을 구현하여 공격자가 만료되지 않은 세션 할용을 방지하기 위함 |
| 보안위협 | ■ 세션의 만료 기간을 정하지 않거나, 만료기한을 너무 길게 설정된 경우 악의적인 사용자가 만 료되지 않은 세션을 활용하여 불법적인 접근이 가능할 수 있음 |
점검대상 및 판단기준
| 대상 | ■ 그누보드 |
| 판단기준 | 양호: 세션 종료 시간이 설정되어 있는 경우 |
| 취약: 세션 종료시간이 설정되어 있지 않아 세션 재사용이 가능한 경우 | |
| 조치방법 | 세션 종료 시간 또는 자동 로그아웃 기능 구현(세션 종료 시간은 사이트의 특성에 따라 달라질 수 있으므로 사이트의 특성에 맞게 적정 시간 설정) |
점검 및 조치 사례
1) 인증후 정상적으로 세션이 발행된 페이지의 리퀘스트를 취득하여 일정 시간(사이트에 따라 다름)이 지난후에 재전송
시 정상 처리가 되는지 확인
※보안설정방법
-세션 타임아웃 기능이 구현되어 있지 않을 경우 장시간 부재중인 사용자에 대한 보호 장치가 없는것이며, 세션 타임아
웃 시간은 10분으로 설정을 권고함
-세션 기본 객체가 제공하는 setMaxInactiveInterval() 메소드 사용
참고
www.kisa.or.kr/public/laws/laws3_View.jsp?cPage=6&mode=view&p_No=259&b_No=259&d_No=106&ST=T&SV=
기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원
기술안내서 가이드
www.kisa.or.kr
'웹취약점 > 그누보드' 카테고리의 다른 글
| 취약점점검- 자동화 공격 (0) | 2021.01.26 |
|---|---|
| 취약점점검- 세션 고정 (0) | 2021.01.25 |
| 취약점점검- 세션 예측 (0) | 2021.01.21 |
| 취약점점검- 크로스사이트 리퀘스트 변조(CSRF) (0) | 2021.01.20 |
| 취약점점검- 취약한 패스워드 복구 (0) | 2021.01.19 |