[주요정보통신기반시설] 16. 세션 예측

웹 어플리케이션은 세션을 통해서 사용자를 구분하기 때문에 예측 가능한 세션이라면 계정이 위험해질 수 있습니다. 따라서 이에 대해서는 예측이 불가능하게 만들어야 합니다. 

해당 취약점에 대한 점검 방법은 추후에 나올 세션 고정과도 동일합니다.

로그인시 세션을 확인하고

로그아웃 하고

다시 로그인하여 세션을 확인하면서 (이 과정을 한 5번정도 하면 패턴을 확인하기 좋습니다)

세션에 특정한 패턴이 부여되어있는지 난수로 되어있는지 파악합니다.

이런식으로 패턴을 찾아봅니다.

 

아래는 취약점 진단 가이드의 내용입니다.

이상입니다