[취약점] 불충분한 세션 만료
2024. 3. 23. 23:54ㆍ정보 보안/취약점
정의
세션의 만료 기간을 정하지 않거나, 만료기한이 너무 길게 설정됐을 경우 생기는 취약점을 의미한다.
공격 시나리오
악의적인 사용자가 만료되지 않은 세션을 활용하여 불법적인 접근이 가능할 수 있다.
대응 방안
- 세션 종료 시간 설정 또는 자동 로그아웃 기능 구현(세션 종료 시간은 웹 사이트 또는 기업에 따라 다를 수 있으므로 이에 맞게 적정 시간 설정)
판단 기준
주요정보통신기반시설
- 양호 : 세션 종료 시간이 설정되어 있는 경우
- 취약 : 세션 종료 시간이 설정되어 있지 않아 세션 재사용이 가능한 경우
점검 예시
주요정보통신기반시설
- 인증 후 정상적으로 세션이 발행된 페이지의 리퀘스트를 취득하여 일정 시간이 경과 후에 재전송 시 정상 처리가 되는지 확인
전자금융기반시설
- 이용자 로그인 후 일정시간 이후 동일 세션으로 접속 가능 여부 점검 등
구체적 보안 설정 방법
1. 세션 타임아웃 구현 시 타임아웃 시간은 10분으로 권장하나 웹 사이트 혹은 기업에 따라 다르므로 적정 시간을 타임아웃으로 설정한다.
'정보 보안 > 취약점' 카테고리의 다른 글
[취약점] 자동화 공격 (0) | 2024.03.24 |
---|---|
[취약점] 세션 고정 (0) | 2024.03.24 |
[취약점] 불충분한 인가 (0) | 2024.03.23 |
[취약점] 크로스사이트 리퀘스트 변조(CSRF) (0) | 2024.03.23 |
[취약점] 불충분한 인증 (0) | 2024.03.23 |