세션예측(SE)
- 단순히 숫자가 증가하는 방법 등의 취약한 특정 세션의 ID를 예측하여 세션을 가로챌 수 있는 취약점 세션 ID가 일정한 패턴을 가지고 있는 경우 공격자는 샘플을 수집해서 세션 ID를 추측할 수 있게 되고, 추측 과정에서 많은 시도와 에러가 생겨도 비교적 짧은 시간 안에 자동으로 공격해서 유효한 세션ID를 얻는 것이 가능하다.
판단기준
양호 : 세션 예측 불가능하도록 로직
취약 : 세션 예측 가능
세션예측 대응방안
- 세션 예측 불가능하도록 로직 구현
'web' 카테고리의 다른 글
| 불충분한 세션 만료(SC) (0) | 2021.09.30 |
|---|---|
| 불충분한인가(IN) (0) | 2021.09.29 |
| 취약한 패스워드 복구(PR) (0) | 2021.09.28 |
| 크로스사이트 리퀘스트 변조(CSRF) (0) | 2021.09.28 |
| 불충분한인증(IA) (0) | 2021.09.27 |