InfoSec/Web

[Web] Session Hijacking

지난 글에서 쿠키와 세션에 대해 알아 보았는데요 간략히 요약하자면 쿠키와 세션의 동작과정은 이렇습니다.서버에서 클라이언트에게 세션 ID를 발급한다클라이언트는 발급 받은 세션 ID와 함께 로그인을 한다.서버는 해당 로그인 정보를 세션 ID에 해당되는 인증 정보에 저장한다.서버는 클라이언트에게 인증 상태를 전송한다.클라이언트가 서버에게 요청을 전송할 때, 세션ID 가 저장되어 있는 쿠키와 인증 상태가 저장되어있는 쿠키를 함께 전송한다.서버는 클라이언트에게 받은 세션ID로 이에 해당 되는 인증 정보와 인증 상태가 일치하는지 확인한다.서버는 HTTP의 비연결성과 무상태성 때문에 클라이언트에게 상태 정보인 쿠키를 발급하고, 해당 쿠키의 변조를 막기 위해 세션이 존재한다는 사실까지 알 수 있었습니다. 하지만 이번 ..