[보안 해킹] 홈페이지 개발 보안 - 쿠키변조
·
Security/Hacking & Security
[보안 해킹] 홈페이지 개발 보안 - 쿠키변조 ■ 취약점 설명 - 웹 서비스에서 사용자 인증 등 중요기능 구현 시 쿠키를 활용할 경우 공격자의 패킷스니핑을 통해 해당 쿠키가 탈취되어 타 사용자로 로그인이 가능해지는 취약점 ■ 보안대책 ⑴ 사용자 인증 등 중요기능 구현 시 가급적이면 Cookie 대신 Session 방식 사용 ⑵ 사용자 인증 등 중요기능 구현 시 Cookie(또는 Session) 방식 활용 시 안전한 알고리즘(SEED, 3DES, AES 등)을 사용 ■ 코드예제 - 쿠키를 생성하여 사용하고 있지만 암호화 하지 않고 평문으로 값을 사용하여 공격자가 해당 값을 조직하여 권한 상승이 가능한 형태의 코딩 - 아래의 코드는 쿠키를 생성 시 value 값을 받아들여 getEncrypt(AES 암호화)..