취약점점검- 세션 고정
2021. 1. 25. 10:46ㆍ웹취약점/그누보드
세션 고정이란?
사용자 로그인 시 항상 일정하게 고정된 세션 ID 값을 사용하는 취약점으로 로그인 시 세션마다 새로운 세션ID가 발행되지 않는다면 세션 ID를 도용한 비인가자의 접근 및 권한 우회가 가능한 취약점
취약점개요
| 점검내용 | ■ 사용자 로그인 시 항상 일정하게 고정된 세션 ID값을 발생하는지 여부 확인 |
| 점검목적 | ■ 로그인 할 때마다 예측 불가능한 새로운 세션 ID를 발행하여 세션 ID의 고정 사용을 방지하기 위함 |
| 보안위협 | ■ 사용자 로그인 시 항상 일정하게 고정된 세션ID가 발행되는 경우 세션 ID를 도용한 비인가자 의 접근 및 우회가 가능 |
점검대상 및 판단기준
| 대상 | ■ 그누보드(localhost) |
| 판단기준 | 양호: 로그인 할 떄마다 예측 불가능한 새션 ID가 발행되고, 기존 세션 ID는파기될경우 |
| 취약: 로그인 세션 ID가 고정 사용되거나 새로운 세션 ID가 발행되지만 예측 가능한 패턴으로 발 행될 경우 |
|
| 조치방법 | 사용자가 로그인 할때마다 예측 불가능한 새로운세션 ID 생성 로직 구현하고 기존세션은 파기함 |
점검 및 조치 사례
1) 로그인 시 세션 ID가 발행되는지 확인하고 로그아웃 후 다시 로그인 할때 예측불가능한 새로운 세션ID가 발급되는지
확인
※보안설정방법
-로그인 할 때마다 예측 불가능한 새로운 세션 ID를 발급받도록 해야 하고 기존 세션 ID는 파기해야 함
참고
www.kisa.or.kr/public/laws/laws3_View.jsp?cPage=6&mode=view&p_No=259&b_No=259&d_No=106&ST=T&SV=
기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원
기술안내서 가이드
www.kisa.or.kr
'웹취약점 > 그누보드' 카테고리의 다른 글
| 취약점점검- 프로세스 검증 누락 (0) | 2021.01.27 |
|---|---|
| 취약점점검- 자동화 공격 (0) | 2021.01.26 |
| 취약점점검- 불충분한 세션 만료 (0) | 2021.01.22 |
| 취약점점검- 세션 예측 (0) | 2021.01.21 |
| 취약점점검- 크로스사이트 리퀘스트 변조(CSRF) (0) | 2021.01.20 |