쿠키 인증의 위험성 (쿠키;쿠키인증;쿠키변조;쿠키조작;쿠키구조;)

	유머사진	환영합니다, 손님! 메모지 \| 회원가입 \| 로그인
		메모지 검색

재미 • 메모智.COM 설치

• 메모智 홈 • 바깥고리 • 전체 메모智 목록 • 회원가입 • 로그인 • 도움말 •

메모智 -> 보안; 인증; 쿠키;

쿠키 인증의 위험성

사용자 로그인 인증을 쿠키로 하는 경우
1) XSS에 의해서 쿠키를 탈취당하면 끝.
2) 쿠키 구조가 간단한 경우는 더 쉬움.

예) 회원인증 쿠키: NTgzMTIzMjIwODIYWRtaW4=QXVndXN0VGh1UE1

base64로 되어 있다는 것을 추정가능하고, = 으로 보아 2개 이상의 문자열이 합쳐진 경우임.
base64_decode()로 풀어보자

첫번째:
NTgzMTIzMjIwODIYWRtaW4=QXVndXN0VGh1UE1
= 58312322082YZ[VwW7EFU

한글자씩 앞에서부터 삭제하면서 base64 decoding...

두번째:
wODIYWRtaW4=QXVndXN0VGh1UE1
= admin]Y\T

다시 반복 계속 (Base64 encoding된 문자열은 =이 끝인 것에서 추정 가능.

세번째:
QXVndXN0VGh1UE1
= AugustThuPM

결론: 쿠키 구조 = 11자리 숫자 + id + 월/요일/오전-오후
따라서 id를 조작하면 쿠키 인젝션을 통해 관리자 인증 가능함.

작성자: 써기

추천수: 0

첨부파일: