본문 바로가기

네트워크&통신

(네트워크&통신) 보안 위변조, 세션방식

탈취 사용의 의미

세션 방식에서는 세션을 식별할 수 있는 session_Id가 발급된다. A의 세션아이디를 탈취해서 B가 A의 키로 접속하면 A의 계정으로 로그인할 수 있다. JWT도 마찬가지이다. 이건 단순한 탈취이지 위변조라고 하지는 않는다.

 

A의 세션Id나 토큰을 모르는 상태서 B가 A의 공개된 정보를 이용해 키를 만들어낼 수 있는가?

혹은 B 자신의 토큰을 변조해서 높은 권한을 취득할 수 있는가를 등을 보통 위변조라고 한다. 

세션이나 JWT 모두 이렇게 하기는 어렵다.

 

탈취해서 사용하는 경우를 막으려면 첫째, 토큰의 탈취를 어렵게 한다. 둘째. 토큰을 탈취해도 사용하기 어렵게 만든다 는 방법이 있다.

httpOnly / httpsOnly cookie에 보관하면 적어도 XSS 등에 의해 탈취되는건 막을 수 있다.

 

하지만 서버 자체가 해킹을 당했다면 방법이 없다. 이를 방지 하기 위해 토큰의 exp를 짧게 한다거나 특정 IP에서만 사용할 수 있게 해준다.