SECURITY CH4
세션 관리 보안
세션은 로그인 상태를 유지하지만, 발급부터 폐기까지 관리하지 않으면 탈취와 고정 공격의 표적이 됩니다.
01
발급
난수성이 높은 세션 ID를 생성해 추측 가능성을 낮춥니다.
02
재발급
로그인 성공 뒤 새 세션 ID로 바꿔 세션 고정을 막습니다.
03
보호
HTTPS와 HttpOnly, Secure, SameSite 속성으로 노출을 줄입니다.
04
만료와 폐기
타임아웃과 로그아웃 시 서버 측 세션을 무효화합니다.
세션 탈취
도청이나 XSS로 세션 ID 노출
HTTPS, HttpOnly
세션 고정
공격자가 정한 ID로 로그인 유도
로그인 후 재발급
장시간 방치
사용하지 않는 세션이 계속 살아 있음
타임아웃, 폐기