세션 탈취 (1) 썸네일형 리스트형 [웹 보안] 세션 하이잭킹 세션 하이잭킹이란?일반적으로 서버는 로그인을 성공한 유저에게 세션id 혹은 토큰을 발급하게 되며 쿠키에 저장을 합니다.공격자가 인증을 마친 사용자의 세션 ID를 탈취하면 서버는 공격자를 정당한 사용자라고 인식하게 됩니다. 대표적인 공격 방법1. 네트워크 스니핑공격자가 공공 wifi와 같은 안전하지 않은 네트워크에서 패킷을 캡쳐하여 세션 ID를 추출할 수 있습니다. 2. XSS 공격사용자의 브라우저에서 세션 쿠키를 탈취하는 것입니다.자세한 내용은 여기를 클릭해주세요. 3. 세션 고정 공격사용자가 로그인하기 전 공격자가 미리 설정한 세션 ID를 사용하게 만들고 사용자가 로그인을 한 후에도 그 세션이 유지되도록 세션을 탈취하는 방법입니다. 예방 방법1. HTTPS 사용모든 통신을 암호화하여 공공 WIFI와 .. 이전 1 다음