googleAdsense_widever


쿠키의 session, 세션 하이재킹 해킹

세션은 원래 브라우저가 종료될 때, 만료된다.
이글루스는 브라우저를 껐다가 다시 들어가면 정상적으로 만료되서 다시 로그인을 해야하는데,
hackthissite는 쿠키에서 phpsessid 값을 복사해두고 부라우저를 다시 켜서 접속한 뒤, 쿠키의 phpsessid 값을 이전에 복사한 값으로 다시 바꾼뒤 페이지를 새로고치면 로그인 된 페이지로 변한다.

아, 다시 보니 이글루스 역시 UVID 라는 이름의 쿠키를 쓸 뿐 phpsessid와 다를바 없다.

아, 다시 찾아보니 내가 읽었던 "브라우저가 종료될 때, 세션이 만료"라는 부분은 쿠키가 세션으로 쓰겠다고 정의되면 브라우저가 닫힐 때, 그 '쿠키'가 만료된다는 말이다.

즉, 서버측에서 브라우저가 닫힌 건지 확인할 방도는 없고, 따라서 예전 세션id로 수정해버리면 다시 접속되는 것이다.
이를 막기 위해서는 일정 시간마다 체크해서 장기간 클라이언트의 움직임(페이지 이동이나 클릭 이벤트등)이 없으면 그제서야 서버 측에서 세션을 파기할 수 있는 것이다.

즉, 세션을 하이재킹 할 때, 반드시 타겟 클라이언트가 접속해 있어야 할 필요는 없고, 단지 타겟클라이언트가 타겟서버페이지에서 빠져나왔다고 하더라고 그 refresh time 안에 인증을 완료한다면 성공할 수 있다.



덧글

댓글 입력 영역


공지

어서오십시오.
트위터 : @FCliver
기저심리학 : 네이버카페
카카오톡 : FCliver
페이스북 : Fredric Cliver

통계 위젯 (화이트)

116
50
288486

접속자 위치