Session management
- 서버 쪽에서 session을 만들어 sesson id를 붙임
- 세션 정보는 세션 id를 사용하여 웹 서버에 저장됨
Sesson tokens
Session hijacking
- HTTP protocol level에서 발생
- 누군가 session을 가로채서 서버는 정당한 클라이언트라고 생각해 처리해줌
대응
- 강한 Session Token 생성
- SID = [userID, exp.time, data] 다양한 정보를 가지고 만듦
- Session Token = HMAC(k, SID)
- k: 웹 서버만 아는 key
※ 국민대학교 소프트웨어학부 윤명근 교수님의 정보보호와시스템보안 교과목을 공부하며 정리한 내용입니다.
728x90
반응형
'정보 보안' 카테고리의 다른 글
| 웹 보안 - CSRF(Cross-Site Request Forgery) (0) | 2024.12.11 |
|---|---|
| 웹 보안 - XSS(Cross-Site Scripting) (1) | 2024.12.11 |
| 웹 보안 - Cookie (0) | 2024.12.11 |
| 웹 보안 - Web Shell (0) | 2024.12.11 |
| 네트워크 보안 - 침입 방지 시스템(Intrusion Prevention System) (0) | 2024.12.11 |