[Dreamhack] Cookie & Session + 쿠키 변조 + 쿠키 적용 + 세션 하이재킹 (Session Hijacking)

1 - 0 - 5. Cookie & Session + 쿠키 변조 + 쿠키 적용 + 세션 하이재킹 (Session Hijacking)

 

 

 

# 쿠키(Cookie)

: Key, Value 로 이루어진 일종의 단위이자, Key-Value 형태의 값이다. 클라이언트가 서버에 요청을 보낼 때 같이 전송하는 것으로, 서버는 쿠키를 통해 클라이언트를 구분한다.

 

 

- Cookie 사용 이유

: HTTP 프로토콜의 특징인 Connectionless, Stateless 때문에 웹 서버가 클라이언트를 기억하지 못하는 문제를 해결하기 위함

Connectionless	Stateless
하나의 요청에 대해 하나의 응답만을 한 후 연결 종료. 연결이 있을 때마다 새로운 연결 생성	통신 완료 후 상태 정보 저장 X 이전 연결에서 쓴 데이터를 타 연결에서 요구할 수 X

 

 

 

- 쿠키 변조

: 서버가 추가적인 검증 과정을 거치지 않으면 악의를 가진 이용자가 쿠키 정보를 변조하여 서버에 요청을 보내고, 이를 통해 정보를 탈취할 수 있음

 

 

 

 

# 세션(Session)

: 쿠키에 포함된 Session ID를 사용하여 서버에 저장되어있는 세션 데이터에 접근하는 방식으로, 클라이언트가 쿠키와 관련된 인증 정보를 변조하는 것을 막기 위해 사용함

 

 

- 세션의 동작 방식

1. 인증 정보를 서버에 저장

2. 해당 데이터에 접근 가능한 키( = 유추가 불가능한 랜덤한 문자열 = Session ID )을 생성

3. 생성한 키를 클라이언트에게 전송

4. 브라우저가 받은 키를 쿠키에 저장

5. 차후 HTTP 요청을 보낼 때, 브라우저가 저장한 키 사용

6. 서버가 요청에 포함된 키에 해당하는 데이터를 보고 인증 상태 확인

 

 

 

- 세션 하이재킹 (Session Hijacking)

: 공격자가 타 이용자의 쿠키를 훔쳐 인증 상태나 정보를 탈취하는 공격 기법

 

 

 

 

# 쿠키와 세션의 차이점과 실습

쿠키	세션
데이터 자체를 이용자가 저장	서버가 데이터 저장

 

세션을 바꿔주기 전

 

세션 저장소에서 admin의 세션을 가져오기

 

세션을 바꾸니 결과값에 admin 출력

 

 

 

 

# 쿠키 적용법

: 클라이언트가 쿠키와 관련된 정보를 악의적으로 변조하는 것을 막기 위해 브라우저에서 쿠키의 만료 기간 설정 가능

 

 

- 서버 측

: HTTP 응답 중 헤더에 쿠키 설정 헤더 (Set-Cookie)를 추가하면 클라이언트의 브라우저가 쿠키 설정

HTTP/1.1 200 OK
Server: Apache/2.4.29 (Ubuntu)
Set-Cookie: name=test;
Set-Cookie: age=30; Expires=Fri, 30 Sep 2022 14:54:50 GMT;
...

 

 

 

- 클라이언트 측

: 자바스크립트를 사용하여 쿠키 설정

document.cookie = "name=test;"
document.cookie = "age=30; Expires=Fri, 30 Sep 2022 14:54:50 GMT;"

 

 

 

- 크롬 Application 활용과 쿠키 정보 확인 및 수정

1. 크롬 페이지 실행

 

 

2. 마우스 우클릭 후 '검사' 버튼 클릭

 

 

3. Application 탭으로 간 뒤 Cookies 펼치기

설정된 쿠키의 정보를 확인하고 이를 수정할 수 있음

 

 

 

- 크롬 Console 활용과 쿠키 정보 확인

1. 크롬 페이지 실행 후 마우스 우클릭  -->  '검사' 버튼 클릭

 

 

2. Console 탭 클릭 후 document.cookie 입력

내 쿠키 옵션에서는 확인이 안되는 듯 하다.