[취약점] 세션 고정

 

정의

 

  사용자 로그인 시 항상 일정하게 고정된 세션 ID를 발행할 때 생기는 취약점을 의미한다.

 

 

공격 시나리오

 

  고정된 세션 ID가 발행되는 경우 세션 ID를 도용한 비인가자의 접근 및 권한 우회 가능성이 생길 수 있다.

 

 

대응 방안

 

• 사용자가 로그인할 때마다 예측 불가능한 새로운 세션 ID 생성 로직 구현
• 새로운 세션 ID 발행 후 기존 세션 ID는 파기

 

 

판단 기준

 

주요정보통신기반시설

• 양호 : 로그인할 때마다 예측 불가능한 새로운 세션 ID가 발행되고, 기존 세션 ID는 파기될 경우
• 취약 : 로그인 세션 ID가 고정 사용되거나 새로운 세션 ID가 발행되지만 예측 가능한 패턴으로 발행될 경우

 

 

점검 예시

 

주요정보통신기반시설

• 로그인 시 세션 ID가 발행되는지 확인하고 로그아웃 후 다시 로그인할 때 예측 불가능한 새로운 세션 ID가 발급되는지 확인

 

전자금융기반시설

• SMS, ARS 등 이용자 인증 시 매번 동일한 인증코드 생성 여부 점검

 

 

구체적 보안 설정 방법

 

1. 로그인할 때마다 예측 불가능한 새로운 세션 ID를 발급받도록 해야 하고 기존 세션 ID는 파기하도록 한다.