비박스(bWAPP) A2 - Broken Auth & Session Mgmt (인증 및 세션 관리 취약점)

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다.

 

A2 - 인증 및 세션 관리 취약점 (Broken Auth & Session Mgmt)

A2 - 인증 및 세션 관리 취약점

웹 애플리케이션에서는 로그인하는 대상의 아이디와 비밀번호를 이용하여 사이트에 등록된 사용자가 맞는지 확인하는 인증 절차를 거칩니다. 이 인증 절차를 거쳐 사용자로 확인되면 웹 사이트에서 계정별로 특정 권한을 받으며, 인증 후 페이지를 이동할 때는 로그인 상태를 유지하고, 일정 시간에 따라 접속을 초기화하기 위하여 세션을 생성합니다.

반응형

그러나 인증 과정에서 결함이 발생하면 사용자의 계정 정보가 노출되고 공격자는 노출된 계정 정보로 로그인할 수 있습니다. 또한, 세션 관리가 허술한 경우 공격자는 세션 아이디를 탈취하여 사용자의 권한을 획득하기도 합니다. 공격자가 공격에 성공하면 인증 없이도 사용자 권한으로 웹 사이트의 서비스를 이용할 수 있게 됩니다.

 

공격 과정

1. 인증 과정 중 결함 발생 또는 세션 관리 소홀로 인해 세션 아이디 노출

2. 인증 과정의 결함과 세션 관리의 취약점으로 정상 인증 과정 없이 사용자 권한 획득

3. 획득한 사용자 계정으로 악의 적인 활동 수행