웹 어플리케이션은 세션을 통해서 사용자를 구분하기 때문에 예측 가능한 세션이라면 계정이 위험해질 수 있습니다. 따라서 이에 대해서는 예측이 불가능하게 만들어야 합니다.
해당 취약점에 대한 점검 방법은 추후에 나올 세션 고정과도 동일합니다.
로그인시 세션을 확인하고
로그아웃 하고
다시 로그인하여 세션을 확인하면서 (이 과정을 한 5번정도 하면 패턴을 확인하기 좋습니다)
세션에 특정한 패턴이 부여되어있는지 난수로 되어있는지 파악합니다.
이런식으로 패턴을 찾아봅니다.
아래는 취약점 진단 가이드의 내용입니다.
이상입니다
'Penetration > WEB' 카테고리의 다른 글
| [주요정보통신기반시설] 18. 불충분한 세션 만료 (0) | 2023.10.25 |
|---|---|
| [주요정보통신기반시설] 17. 불충분한 인가 (0) | 2023.10.25 |
| [주요정보통신기반시설] 15. 크로스사이트 리퀘스트 변조(CSRF) (0) | 2023.10.25 |
| [주요정보통신기반시설] 14. 취약한 패스워드 복구 (0) | 2023.10.25 |
| [주요정보통신기반시설] 13. 불충분한 인증 (0) | 2023.10.25 |
