Session Hijack 공격

Sessio Hijack은 공격자가 어떠한 방법으로 User의 세션 ID를 입수해서 악용하는 공격 수단이며, User로 위장하는 공격이라 할 수 있다.

인증 기능이 있는 웹 어플리케이션에서는 세션 ID를 사용한 세션 관리 기구에 의해서 인증 상태를 관리하는 방법이 대부분이다. 클라이언트에서는 쿠키 등에 세션 ID를 기록하고 서버에서는 세션 ID와 인증 상태 등을 연동해서 관리하고 있다.

공격자가 세션 ID를 입수하는 방법에는 주로 다음과 같은 것들이 있다.

 

1. 부적절한 생성 방법에 의한 세션 ID 추측

2. 도청이나 XSS 등에 의한 세션 ID 도용

3. 세션 고정 공격에 의한 세션 ID 강제

 

인증 기능을 예로 Session Hijack에 대해 알아보자. 이 기능은 세션 관리 기구에 의해 인증된 User는 세션 ID(SID)를 User가 사용하는 브라우저의 쿠키에 갖고 있음을 의미한다.

 

웹 사이트에 크로스 사이트 스크립팅(XSS)의 취약성이 있다는 것을 알게 된 공격자는 document.cookie 등의 JavaScript를 사용한 함정을 설치한다. User가 함정에 빠지면 공격자는 세션 ID를 포함한 쿠키를 입수할 수 있다.

User의 세션 ID를 입수한 공격자는 브라우저의 쿠키에 세션 ID를 세팅하고 웹 사이트에 액세스하여 User로 위장할 수 있다.