IT용어위키



인증 및 세션 관리 취약점

Broken Authentication and Session Management

인증과 세션 관리와 관련된 기능이 정확하게 구현되어 있지 않아서, 공격자가 패스워드, 키 또는 세션 토큰을 해킹 하여 다른 사용자 ID로 가장 할 수 있는 취약점

공격 유형 예시

Url에 세션 정보가 노출 되도록 코딩하는 경우

  • http://xxxxx.com/resceve:sessionid=intadd?dets=qq 등

세션 유지 취약점

  • 공공장소의 컴퓨터에서 사용되는 어플리케이션에서 세션 타임아웃이 없고, 로그아웃을 하지 않고 단순히 브라우져만 닫는 경우 세션이 유지 되는 경우

쿠키 변조

  • 쿠키를 사용하는 웹페이지의 경우 쿠키를 암호화 할 때 취약한 암호를 사용하는 경우

참고 문헌


  출처: IT위키(IT위키에서 최신 문서 보기)
  * 본 페이지는 공대위키에서 미러링된 페이지입니다. 일부 오류나 표현의 누락이 있을 수 있습니다. 원본 문서는 공대위키에서 확인하세요!