[보안 해킹] 홈페이지 개발 보안 - 쿠키변조
■ 취약점 설명
- 웹 서비스에서 사용자 인증 등 중요기능 구현 시 쿠키를 활용할 경우 공격자의 패킷스니핑을 통해 해당 쿠키가 탈취되어 타 사용자로 로그인이 가능해지는 취약점
■ 보안대책
⑴ 사용자 인증 등 중요기능 구현 시 가급적이면 Cookie 대신 Session 방식 사용
⑵ 사용자 인증 등 중요기능 구현 시 Cookie(또는 Session) 방식 활용 시 안전한 알고리즘(SEED, 3DES, AES 등)을 사용
■ 코드예제
- 쿠키를 생성하여 사용하고 있지만 암호화 하지 않고 평문으로 값을 사용하여 공격자가 해당 값을 조직하여 권한 상승이 가능한 형태의 코딩
- 아래의 코드는 쿠키를 생성 시 value 값을 받아들여 getEncrypt(AES 암호화) 함수를 통해 AES 암호화 후 쿠키를 생성하게 하여 쿠키 변조 공격에 안전하도록 코딩
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Security > Hacking & Security' 카테고리의 다른 글
| [보안 해킹] 홈페이지 개발 보안 - 취약한 패스워드 복구 (0) | 2016.11.03 |
|---|---|
| [보안 해킹] 홈페이지 개발 보안 - 취약한 암호화 알고리즘 사용 (0) | 2016.11.02 |
| [보안 해킹] 홈페이지 개발 보안 - 데이터 평문전송 (0) | 2016.10.31 |
| [보안 해킹] 홈페이지 개발 보안 - 불충분한 세션관리 (0) | 2016.10.31 |
| [보안 해킹] 홈페이지 개발 보안 - 취약한 계정 생성 허용 (0) | 2016.10.28 |