A2 - 인증 및 세션 관리 취약점

참고 : https://tansfil.tistory.com/58 https://12bme.tistory.com/133 웹 애플리케이션에서는 로그인 하는 대상이 아이디와 비밀번호를 이용하여 사이트에 등록된 사용자가 맞는지 확인하는 인증 절차를 거친다. 다음은 Cookie와 Session을 이용한 인증방식이다. 1.

사용자가 로그인을 한다.(요청) 2.

서버는 사용자로그인의 정보를 읽고, 회원DB와 비교하여 사용자를 확인한다. 3. 사용자의 고유한 ID 값을 부여하여 세션 저장소에 저장한다. 4.

세션저장소는 사용자정보와 연결되는 Session ID값을 발급한다. 5. 서버는 HTTP 헤더에 Session ID 값을 같이 실어 사용자에게 돌려보낸다. 6.

사용자는 세션ID 값을 받아 쿠키에 저장을 하게 됩니다. 사용자가 서버에 요청을 할때마다 이 쿠키를 헤더에 담아서 요청하게 된다. 7.

서버는 세션저장소에 쿠키를 대조,비교를 한다. 8. 세션저장소는 그에 대응하는 정보를 서버에게 전달...