가. 취약점 개요
■ 내용 : 사용자 로그인 시 항상 일정하게 고정된 세션 ID 값을 발행하는지 여부 확인
■ 목적 : 로그인할 때마다 예측 불가능한 새로운 세션 ID를 발행하여 세션 ID의 고정 사용을 방지하기 위함
■ 보안 위협
- 사용자 로그인 시 항상 일정하게 고정된 세션 ID가 발행되는 경우 세션 ID를 도용한 비인가자의 접근 및 권한 우회가 가능
■ 참고
※ 소스코드 및 취약점 점검 필요
나. 점검방법
■ 대상 : 웹 애플리케이션 소스코드
■ 판단기준
- 양호 : 로그인할 때마다 예측 불가능한 새로운 세션 ID가 발행되고, 기존 세션 ID는 파기될 경우
- 취약 : 로그인 세션 ID가 고정 사용되거나 새로운 세션 ID가 발행되지만 예측 가능한 패턴으로 발행될 경우
■ 점검방법
Step 1) 로그인 시(1) 세션 ID가 발행되는지 확인하고 로그아웃 후 다시 로그인(2)할 때 예측 불가능한 새로운 세션 ID가 발급되는지 확인
다. 조치방법
■ 사용자가 로그인할 때마다 예측 불가능한 새로운 세션 ID 생성 로직 구현하고 기존 세션 ID는 파기함
■ 보안설정방법
- 로그인할 때마다 예측 불가능한 새로운 세션 ID를 발급받도록 해야 하고 기존 세션 ID는 파기해야 함
라. 조치시 영향
■ 일반적으로 영향 없음