Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |
Tags
- 자바연습문제
- Secure Coding
- java
- 스프링
- 스프링 부트와 JPA
- Numpy
- 항해플러스
- 자바의정석
- 불친절한SQL프로그래밍
- 서블릿
- 인프런
- 김영한
- Java의정석
- 항해 추천인
- 스프링MVC
- 자바의정석 연습문제
- 시큐어코딩
- 이것이자바다
- Spring
- 항해플러스 백엔드 7기
- JPA
- 자바공부
- 항해플러스 백엔드
- 제네릭
- 항해 추천인코드
- 항해플러스 회고
- 스프링입문
- 스프링 핵심원리
- 불친절한 SQL 프로그래밍
- Python
Archives
- Today
- Total
목록패킷 스니핑 (1)
Continuous Challenge
시큐어코딩 (3일차)
세션관리 취약점 HTTP 프로토콜은 상태관리를 하지 않는 (Stateless) 프로토콜이다. 서버는 클라이언트의 정보를 유지하기 위해 세션메모리를 할당하여 클라이언트의 인증정보를 관리한다. 할당된 세션메모리를 구분하기 위해 서버는 세션ID를 할당하게 되며, 할당된 세션ID는 쿠키, URL파라메터, 의 hidden 파라메터값 형식으로 클라이언트에게 전달한다. 다른 사용자의 권한을 가로채기 위해서는 사용자의 정보를 저장하고 있는 세션의 정보를 추측하거나, 훔치거나, 공격자가 원하는 세션을 사용하게 하는 방법을 이용할 수 있다. - 세션ID 추측 : 세션ID 생성방법이 부적절한 경우 제 3자가 추측가능하며 세션 하이재킹이 가능하다. - 세션ID 훔치기 : 네트워크상에서 패킷 스니핑을 통해 세션ID를 훔쳐내거나..
Study/Secure Coding
2020. 1. 17. 17:28