[Web] 세션 예측 (SE)

세션 예측

 

취약점 개요

■ 위험도
- 상

■ 점검 목적
- 사용자의 세션ID를 추측 불가능하도록 난수로 생성하여 공격자의 불법적인 접근을 차단하기 위함

■ 보안 위협
- 사용자에게 전달하는 세션ID가 일정한 패턴을 가지고 있는 경우 공격자가 세션 ID를 추측하여 불법적인 접근을 시도할 수 있음

 

 

점검 및 조치 방법

■ 점검 및 판단 기준
- 양호 : 추측 불가능한 세션 ID가 발급되는 경우
- 취약 : 세션 ID가 일정한 패턴으로 발급되어 있는 경우

■ 조치 방법
- 추측 불가능한 세션 ID가 발급되도록 로직을 구현

■ 점검 방법
Step 1) 각각 다른 IP 주소와 다른 사용자명, 시간적 차이로 세션 ID를 발급받음
Step 2) 발급받은 세션 ID에 일정한 패턴이 있는지 조사

 

Step 3) 일정한 패턴이 확인되고, 패턴에 의해 사용 가능한 세션 ID의 예측이 가능한지 확인

 

■ 보안설정방법
- 아무리 길이가 길고 복잡한 항목으로 세션ID가 만들어져도 공격자가 충분한 시간과 자원이 갖추어져 있다면 뚫는 것이 불가능하지 않으므로 강력한 세션ID를 생성하여야 함, 주된 목적은 수많은 대역폭과 처리 자원을 가지고 있는 공격자가 하나의 유효한 세션ID를 추측하는데 최대한 오랜 시간이 걸리게 하여 쉽게 추측하지 못하게 하는 것

- 단순 조합보다, 사용 웹 서버나 웹 애플리케이션 플랫폼에서 제공하는 세션 ID를 사용하고, 가능하다면 맞춤형 세션 관리 체계를 권고
- 세션 ID는 로그인 시마다 추측할 수 없는 값인 새로운 세션 ID를 발급하여야 함

■ 용어 설명 / 팁
※ 세션(Session) : 일정 시간동안 같은 사용자로 부터 들어오는 일련의 요구를 하나의 상태로 보고 그 상태를 일정하게 유지시키는 기술