드럼치는 프로그래머

1) 취약점 개요 AppScan이 로그인 프로세스 전과 후의 세션 ID가 업데이트되지 않았음을 발견했습니다. 즉, 사용자 위장이 가능합니다. 세션ID 값에 대한 사전 지식을 통해 원격 공격자는 정상적으로 로그인한 사용자처럼 행동할 수 있습니다. 2) 기술적 설명 공격이 진행되는 과정: a) 공격자가 공격 대상자의 브라우저를 사용하여 취약한 사이트의 로그인 양식을 엽니다. b) 양식이 열리면 공격자가 세션 ID 값을 입력한 후 대기합니다. c) 공격 대상자가 취약한 사이트에 로그인할 때 공격 대상자의 세션 ID가 업데이트되지 않습니다. d) 그런 다음 공격자가 세션 ID 값을 사용하여 공격 대상이 되는 사용자를 가장하고 이 사용자 대신 작동할 수 있습니다. XSS(Cross-site scripting) 취..