그누보드/영카트 보안취약점 리포트 #257 - 세션 고정 취약점 정보
그누보드/영카트 보안취약점 리포트 #257 - 세션 고정 취약점관련링크
본문
로그인 전후에 세션 ID가 교체되지 않고 계속 사용하고있어 그누보드에서 발견되는 다른 취약점과 결합하여 세션고정 취약점으로 사용자 정보 및 권한 탈취 가능성이 있는 문제입니다.
이 취약점은 동작 방식의 문제이므로 굳이 비공개로 알리지 않았습니다.
현재 별도로 받은 답변은 없으나 문제를 고치고 있는 것으로 파악했습니다.
세션고정 취약점은 가장 쉽게 발견되는 편인데 이게 아직 제보도 안 됐고 고쳐지지도 않았다는게 정말 의외네요.
추천
3
3
댓글 1개
(연달아 제 글이 3개 씩이나 되어 죄송합니다. 연휴에, 주말에, 새벽 시간이라 글 리젠이 느리군요)