- Web Session Hijacking
Session Token만으로 사용자 인증을 하는 경우 해당 Token이 탈취 한다면 해당 토큰에 대한 인증을 가로챌 수 있다.
Web Session Hijacking은 웹 사이트에 로그인 중인 다른 사용자의 Token을 탈취하여 공격자가 타인의 로그인된 세션을 취득하는 것을 말한다.
1) Session 탈취 방법
- 패킷을 탈취하는 Sniffing
- Script를 이용한 XSS (Cross-site Script)
위 두 방법이 주를 이루며 이를 통해 타인이 로그인중인 Token인 Cookie를 탈취 하여 해당 사이트에 타인의 로그인된 환경으로 접근할 수 있다.
실제로 웹 사이트는 토큰에 대한 사용자 인증을 하기 때문에 탈취한 토큰을 사용한 공격자는 해당 토큰에 대한 정보로 로그인 한 것처럼 해당 사이트에 접근이 가능한 것을 확인할 수 있다.
출처 : http://www.xtrmhack.com/2010/12/session-hijacking.html
'Web 보안 > Web Hacking' 카테고리의 다른 글
| XSS (Cross-site Scripting) (0) | 2016.10.17 |
|---|---|
| Cookie (0) | 2016.10.15 |