반응형
LIST
1. Weak Session IDs
1. 정의
- 웹 애플리케이션 구현에 있어 서비스에 접근하는 사용자의 인증 값이나 세션,쿠키 성장/관리 구현에서 발생하는 취약점을 공격하는 기법
- 비 인가자의 로그인 없이 서비스 페이지에 접근하거나 관리자 페이지까지 접근할 수 있음.
2. 세션
클라이언트와 웹 세션 간 일정 시간 동안의 연결방법
3. 쿠키
웹 서버에서 생성하며 웹 브라우저에 보내어 저장하며 서버의 부가적인 요청이 있을 때 다시 서버로 보내주는 문자열의 정보
4. 세션 vs 쿠키
5. DVWA 실습
6. 대응방안
- 세션 id를 공격자가 추측하기 어렵게 랜덤 생성 알고리즘 사용
- Rails와 Django 같은 프레임 워크를 사용하여 쿠키 서명 => 쿠키 변조 방지
반응형
LIST
'보안' 카테고리의 다른 글
| [웹모의해킹] 7. XSS(Relected,Stored) (0) | 2021.07.05 |
|---|---|
| [웹모의해킹] 6. Xss(DOM) (0) | 2021.07.01 |
| [웹모의해킹] 4-2. Blind SQL Injection (0) | 2021.06.10 |
| [웹모의해킹] 4. SQL Injection (0) | 2021.06.10 |
| [웹모의해킹] 3. File Upload, Insecure Captha (0) | 2021.06.10 |
댓글