세션 고정 보호

세션 고정 보호

만약 유저B가 유저A의 쿠키에 자신의 세션 ID를 심은 후, 유저B가 로그인을 하는 상황이 있을때

만약 로그인 후 새로운 세션 ID가 발급되지 않도록 설정했다면
유저B의 세션 ID를 가진 유저는 이전에 로그인한 사용자로 인식되어 서버의 세션 저장소에 저장된 유저A의 정보에 접근할 수 있게 된다.

*로그인의 목적은 세션 ID를 생성하여 클라이언트로 넘겨주고, 해당 클라이언트의 정보를 생성한 세션 ID와 매핑하여 세션 저장소에 저장하기 위함이다. 따라서 이미 세션 ID가 있고, 새로운 세션 ID가 발급되지 않도록 설정되어 있다면, 클라이언트가 사용하는 기존의 세션 ID와 세션 저장소에 담기는 방금 로그인한 유저의 정보가 매칭되게 된다.

이는 세션 고정 공격의 일종으로, 세션 고정 공격에 취약한 상태를 의미하므로, 세션 보안을 강화하기 위해 로그인 시 항상 새로운 세션 ID를 발급하거나, 기존의 세션을 완전히 무효화하여 새로운 인증 정보를 설정하는 것이 좋다.