[취약점] 불충분한 세션 만료

2024. 3. 23. 23:54정보 보안/취약점

 

정의

 

  세션의 만료 기간을 정하지 않거나, 만료기한이 너무 길게 설정됐을 경우 생기는 취약점을 의미한다.

 

 

공격 시나리오

 

  악의적인 사용자가 만료되지 않은 세션을 활용하여 불법적인 접근이 가능할 수 있다.

 

 

대응 방안

 

  • 세션 종료 시간 설정 또는 자동 로그아웃 기능 구현(세션 종료 시간은 웹 사이트 또는 기업에 따라 다를 수 있으므로 이에 맞게 적정 시간 설정)

 

 

판단 기준

 

주요정보통신기반시설

  • 양호 : 세션 종료 시간이 설정되어 있는 경우
  • 취약 : 세션 종료 시간이 설정되어 있지 않아 세션 재사용이 가능한 경우

 

 

점검 예시

 

주요정보통신기반시설

  • 인증 후 정상적으로 세션이 발행된 페이지의 리퀘스트를 취득하여 일정 시간이 경과 후에 재전송 시 정상 처리가 되는지 확인

 

전자금융기반시설

  • 이용자 로그인 후 일정시간 이후 동일 세션으로 접속 가능 여부 점검 등

 

 

구체적 보안 설정 방법

 

1. 세션 타임아웃 구현 시 타임아웃 시간은 10분으로 권장하나 웹 사이트 혹은 기업에 따라 다르므로 적정 시간을 타임아웃으로 설정한다.

 

'정보 보안 > 취약점' 카테고리의 다른 글

[취약점] 자동화 공격  (0) 2024.03.24
[취약점] 세션 고정  (0) 2024.03.24
[취약점] 불충분한 인가  (0) 2024.03.23
[취약점] 크로스사이트 리퀘스트 변조(CSRF)  (0) 2024.03.23
[취약점] 불충분한 인증  (0) 2024.03.23