[Web] 세션 예측 (SE)

세션 예측 취약점 개요 위험도 - 상 점검 목적 - 사용자의 세션ID를 추측 불가능하도록 난수로 생성하여 공격자의 불법적인 접근을 차단하기 위함 보안 위협 - 사용자에게 전달하는 세션ID가 일정한 패턴을 가지고 있는 경우 공격자가 세션 ID를 추측하여 불법적인 접근을 시도할 수 있음 점검 및 조치 방법 점검 및 판단 기준 - 양호 : 추측 불가능한 세션 ID가 발급되는 경우 - 취약 : 세션 ID가 일정한 패턴으로 발급되어 있는 경우 조치 방법 - 추측 불가능한 세션 ID가 발급되도록 로직을 구현 점검 방법 Step 1) 각각 다른 IP 주소와 다른 사용자명, 시간적 차이로 세션 ID를 발급받음 Step 2) 발급받은 세션 ID에 일정한 패턴이 있는지 조사 Step 3) 일정한 패턴.....