Cookie & Session
쿠키
- Key와 Value로 이뤄진 일종의 단위
- 클라이언트의 정보 기록과 상태 정보를 표현하는 용도로 사용
- Connectionless: 하나의 요청에 하나의 응답을 한 후 연결을 종료
- Stateless: 통신이 끝난 후 상태 정보를 저장하지 않는 것
세션
- 인증 정보를 서버에 저장하고 해당 데이터에 접근할 수 있는 키(=유추할 수 없는 랜덤한 문자열)를 만들어 클라이언트에 전달하는 방식으로 작동
세션 하이재킹
- 공격자가 이용자의 쿠키를 훔칠 수 있으면 세션에 해당하는 이용자의 인증 상태 훔칠 수 있음. 즉, 타 이용자의 쿠키를 훔쳐 인증 정보를 획득하는 공격
해결 방법
: 서버 생성 후 로그인 창에 들어가 guest로 로그인 후 개발자 도구에서 value 값을 admin으로 바꿔준다.
동일 출처 정책(Same Origin Policy, SOP)
- 현재 페이지의 출처가 아닌 다른 출처로부터 온 데이터를 읽지 못하게 하는 브라우저의 보안 메커니즘
- Same Origin: 현재 페이지와 동일한 출처
- Cross Origin: 현재 페이지와 다른 출처
Origin 구성
- 프로토콜(Protocol, Scheme)
- 포트(Port)
- 호스트(Host)
교차 출처 리소스 공유(Cross Origin Resource Sharing, CORS)
- SOP의 제한을 받지 않고 Cross Origin의 데이터를 처리할 수 있도록 해주는 메커니즘
'1. Web hacking (웹 해킹) > 2) 개념 정리' 카테고리의 다른 글
| [25.05.22] 웹 떠봐요 6주차 활동 (0) | 2025.05.23 |
|---|---|
| [25.05.16] 웹 떠봐요 5주차 활동 (0) | 2025.05.16 |
| [25.04.11]웹 떠봐요 3주차 활동 (0) | 2025.04.11 |
| [25.04.04]웹 떠봐요 2주차 활동 (0) | 2025.04.04 |
| [24.11.02] XSS(Cross-Site Scripting) / 파라미터 변조 (0) | 2024.11.08 |
