[Beebox] 세션 관리 미흡에 의한 취약점

 

security level : low

 

 

admin=1로 변경

 

 

 

 

security level : medium

 

 

 

admin=1로 변경

 

 

 

세션 관리가 제대로 이루어지지 않으면 사용자의 인증 정보가 탈취될 수 있고, 권한 상승 공격 등의 공격에 취약해질 수 있다. 

 

• 세션 ID의 안전한 생정과 관리 : 세션 ID는 예측 불가능해야 하며, 충분히 길고 복잡해야 한다. 안전한 난수 생성기를 사용하여 세션 ID를 생성한다.
• 세션 ID의 안전한 전송 : HTTPS와 같은 암호화된 채널을 통해 전송되어야 한다. 이를 통해 중간에서의 도청을 방지할 수 있다.
• 세션 타임아웃 설정 : 사용자가 일정 시간 동안 활동하지 않으면 세션을 자동으로 종료하도록 타임아웃을 설정한다.
• 세션 고정 공격 방지 : 사용자가 로그인할 때마다 세션 ID를 새로 발급하여 공격자가 사전에 알고 있는 세션 ID를 사용할 수 없게 한다.
• 보안 헤더 설정 : 적절한 보안 헤더를 설정하여 XSS, 클릭재킹 등의 공격을 방지하고 세션 보안을 강화한다.