쿠키
사용자가 어떠한 웹사이트를 방문할 경우 그 사이트가 사용하고 있는 서버를 통해 인터넷 사용자의 컴퓨터에 설치되는 작은 기록 정보 파일
쿠키는 사용자가 같은 웹 사이트에 방문할 때 마다 읽히고 새로운 정보로 업데이트 된다.
웹사이트는 쿠키를 통해 사용자를 인식하고 사용자의 설정, 과거 행동들을 기억한다.
쿠키는 사용자 측에 저장되기 때문에 서버에 부담을 주지 않으면서 사용자에 대한 정보를 기억할 수 있다는 장점이 있다.
쿠키는 소프트웨어가 아니다.
쿠키는 컴퓨터에서 실행될 수 없으므로 바이러스를 옮기거나 무언가를 설치할 수도 없다.
또한 쿠키는 시작한 서버에서만 접근할 수 있기 때문에 다른 서버는 볼 수 없다.
그렇다면 쿠키는 안전한가?
그렇지 않다. 쿠키에도 보안 문제점이 있다.
쿠키에는 사용자에 대한 정보들이 저장되므로 이 쿠키가 노출되면 사용자의 정보가 그대로 노출이 될 수 있다는 점이다.
또한 쿠키는 사용자 측에 저장되는 텍스트 파일 형식이기 때문에 사용자가 수정을 해서 서버에 보내도 서버는 그 변화를 알지 못한다.
예를 들면 이런 경우가 있다.
2022.04.03 - [보안/Dreamhack] - Dreamhack: cookie
Dreamhack: cookie
쿠키에 관한 문제다. 우선 들어가면 별 내용 없는 페이지가 나온다. 우측 위의 로그인 버튼을 눌러본다. 로그인 창이 나오고 페이지 검사를 해보니 default account가 guest/guest라고 하니 로그인 해 본
29223.tistory.com
사용자가 브라우저를 이용해 쿠키값을 admin에 해당하는 값으로 변경하면 브라우저는 admin으로 인식하고 FLAG값을 그대로 노출하게 된다.
'IT > 개념' 카테고리의 다른 글
| File Download 취약점 (0) | 2022.04.05 |
|---|---|
| Path Traversal(Directory Traversal) (0) | 2022.04.04 |
| Source Map이란? (0) | 2022.03.09 |
| 난독화를 하는 이유 (0) | 2022.03.08 |