주요정보통신기반기설 기술적 취약점 분석 평가 방법 상세가이드/WEB 진단

18. 불충분한 세션 만료 WEB [SC] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021)

재민스 2021. 11. 9. 10:24

가. 취약점 개요

    내용 : 세션의 만료 기간 설정 여부 점검

    목적 : 세션 타임아웃 기능을 구현하여 공격자가 만료되지 않은 세션 활용을 방지하기 위함

    보안 위협

    -      세션의 만료 기간을 정하지 않거나, 만료기한을 너무 길게 설정된 경우 악의적인 사용자가 만료되지 않은 세션을 활용하여 불법적인 접근이 가능할 수 있음

    참고

    ※ 소스코드 및 취약점 점검 필요

 

나. 점검방법

    대상 : 웹 애플리케이션 소스코드, 웹 서버

    판단기준

    -      양호 : 세션 종료 시간이 설정되어 있는 경우

    -      취약 : 세션 종료 시간이 설정되어 있지 않아 세션 재사용이 가능한 경우

    점검방법

    Step 1) 인증 후 정상적으로 세션이 발행된 페이지의 리퀘스트를 취득하여 일정 시간 (사이트에 따라 다름)이 지난 후에 재전송 시 정상 처리가 되는지 확인     

[ 로그인 후 세션 발급 ]
 [ 일정 시간 경과 후 세션 유지 여부 확인 ]

     

다. 조치방법

     세션 종료 시간 설정 또는 자동 로그아웃 기능 구현(세션 종료 시간은 사이트의 특성에 따라 달라질 수 있으므로 사이트의 특성에 맞게 적정 시간 설정)

     보안설정방법

    -      세션 타임아웃 구현 시 타임아웃 시간은 10분으로 설정할 것을 권고함

    웹 애플리케이션 별 상세 설정

    -      ASP

        •       접속자별로 세션을 생성하여 사용자 정보를 각각 저장할 수 있는 세션 오브젝트로 타임아웃 기능을 구현함

※ 세션 오브젝트: 페이지 접근을 허가하거나 금지할 때 또는, 사용자별로  정보를  저장할 때 많이 사용하며 접속자의 브라우저에서 쿠키 기능을 지원해야 세션 오브젝트 사용이 가능함

        •       다음과 같은 설정이 적용될 경우 사용자가 로그아웃 시 세션은 바로 삭제되며, 로그아웃 하지 않고 10분 동안 웹 서버로의 요청이 없으면 세션은 없어지게 됨

                … 중략

                // Session의 유지 시간 Setting Session.timeout = 10

                … 중략

구분 설 명
Property SessionID 사용자마다 갖게 되는 고유한 세션
Timeout 세션이 유지되는 기간
Method Abandon 강제로 세션을 소멸시키는 함수
Event Onstart 각각의 사용자가 처음 방문할 발생
Onend 사용자의 세션이 끝나는 시점에 발생

    -      JSP

        •       세션 타임아웃 기능을 구현하는 방법은 session.getLastAccessedTime()를 이용하여 세션의 마지막 접근 시간으로부터 일정 시간동안 세션 접근을 하지 않은 경우 자동으로 세션을 종료하도록 함

        •       세션의 타임아웃은 두 가지 방법으로 설정할 수 있음

            Step 1) web.xml 파일에서 <session-config> 태그를 사용하여 타임아웃을 지정하는 방법. web.xml, Weblogic.xml 중 한 곳에만 설정 (만약, 두 곳 모두 설정 시 우선순위에 의해 web.xml 설정이 적용됨)

                    Web.xml : “분” 단위

<session-config>
<session-timeout>10</session-timeout>
</session-config>

                    Weblogic.xml: “단위

<session-descriptor>
<timeout-secs>600</timeout-secs>
</session-descriptor> 또는,
<session-param>
<param-name>TimeoutSecs</param-name>
<param-value>600</param-value>
</session-param>

            Step 2) 세션 기본 객체가 제공하는 setMaxInactiveInterval() 메소드 사용

                ※ 주의할 점: web.xml 에서는 타임아웃 시간 단위가 분이지만 메소드에서는 초 단위임

… 중략 …
// Session의 유지 시간을 Setting
String strTime = Param.getPropertyFromXML("SessionPersistenceTime");
if (strTime == null) {
session.setMaxInactiveInterval(600);
} else {
session.setMaxInactiveInterval((new Integer(strTime)).intValue());
}
… 중략 …

 

 

라. 조치시 영향

    일반적으로 영향 없음

저작자표시

'주요정보통신기반기설 기술적 취약점 분석 평가 방법 상세가이드 > WEB 진단' 카테고리의 다른 글

20. 자동화 공격 WEB [AU] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021)  (0) 2021.11.09
19. 세션 고정 WEB [SF] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021)  (0) 2021.11.09
17. 불충분한 인가 WEB [IN] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021)  (0) 2021.11.09
16. 세션 예측 WEB [SE] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021)  (0) 2021.11.09
15. 크로스사이트 리퀘스트 변조(CSRF) WEB [CF] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021)  (0) 2021.11.09

'주요정보통신기반기설 기술적 취약점 분석 평가 방법 상세가이드/WEB 진단'의 다른글

  • 현재글18. 불충분한 세션 만료 WEB [SC] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021)

관련글

댓글

티스토리툴바