Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |
Tags
- 스프링입문
- 인프런
- 불친절한SQL프로그래밍
- 자바의정석
- 스프링
- 항해플러스 백엔드
- 김영한
- 스프링 핵심원리
- 스프링MVC
- Numpy
- 항해 추천인
- java
- 불친절한 SQL 프로그래밍
- 시큐어코딩
- 자바연습문제
- 이것이자바다
- 서블릿
- Spring
- 자바의정석 연습문제
- Java의정석
- 항해플러스
- 스프링 부트와 JPA
- JPA
- 항해플러스 회고
- Python
- 제네릭
- 항해플러스 백엔드 7기
- Secure Coding
- 항해 추천인코드
- 자바공부
Archives
- Today
- Total
목록세션관리 취약점 (1)
Continuous Challenge
시큐어코딩 (3일차)
세션관리 취약점 HTTP 프로토콜은 상태관리를 하지 않는 (Stateless) 프로토콜이다. 서버는 클라이언트의 정보를 유지하기 위해 세션메모리를 할당하여 클라이언트의 인증정보를 관리한다. 할당된 세션메모리를 구분하기 위해 서버는 세션ID를 할당하게 되며, 할당된 세션ID는 쿠키, URL파라메터, 의 hidden 파라메터값 형식으로 클라이언트에게 전달한다. 다른 사용자의 권한을 가로채기 위해서는 사용자의 정보를 저장하고 있는 세션의 정보를 추측하거나, 훔치거나, 공격자가 원하는 세션을 사용하게 하는 방법을 이용할 수 있다. - 세션ID 추측 : 세션ID 생성방법이 부적절한 경우 제 3자가 추측가능하며 세션 하이재킹이 가능하다. - 세션ID 훔치기 : 네트워크상에서 패킷 스니핑을 통해 세션ID를 훔쳐내거나..
Study/Secure Coding
2020. 1. 17. 17:28