1) 세션 고정 공격
- 공격자가 서버에 접속한다.
- 서버는 공격자에게 jsessionid 를 발급한다.
- 공격자는 이 jsessionid 쿠키를 사용자에게 심어 놓는다.
- 사용자는 이 쿠키로 로그인을 시도하고 로그인을 성공한다. (서버에 세션 생성됨)
- 서버는 사용자, 공격자 둘 다 동일한 계정으로 판단한다.
- 즉, 공격자 쿠키 값으로 인증되어 있기 때문에 공격자는 동일한 쿠키를 통해 서버에 접근하여 사용자 정보를 공유 받는다.
스프링 시큐리티는 이 공격을 보호하기 위해서 세션 고정 보호 기능을 제공한다.
사용자가 공격자의 쿠키를 사용하여 인증을 받더라도 인증 마다 새로운 세션이 생성되고 새로운 쿠키도 생성된다. 따라서 공격자가 서버에 접근하더라도 세션 아이디가 틀리기 때문에 사용자 정보를 알 수 없다.
protected void configure(HttpSecurity http) throws Exception {
http.sessionManagement() // 세션 관리 기능이 작동함
.sessionFixation().changeSessionId() // 기본 값 = 사용자가 인증에 성공하게 되면 세션ID 값을 바꾼다. 따로 설정 안해도 시큐리티가 기본값 세팅해줌
// 기타 옵션 NONE, MIGRATESESSION, NEWSESSION
}
- MIGRATESESSION : 기본 값과 동작은 같음. 새로운 세션도 생성되고 새션 ID 도 새로 발급된다. (서블릿 3.1 이하에서 작동)
- NEWSESSOPM : 기본 값과 동작은 같다. 하지만 이전 세션에서 발급한 속성을 쓸 수 없다.
- NONE : 세션이 새롭게 생성되지 않는다.
세션 정책
protected void configure(HttpSecurity http) throws Exception {
http.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.If_Required)
}
- SessionCreationPolicy.If_Required : 시큐리티가 필요할 때 세션을 생성한다.
- SessionCreationPolicy.Always : 시큐리티가 항상 세션을 생성한다.
- SessionCreationPolicy.Never : 시큐리티가 생성하지 않지만 이미 존재하면 사용한다.
- SessionCreationPolicy.Stateless : 시큐리티가 생성하지 않고 존재해도 사용하지 않는다. ← 세션쿠키 인증이 아닌 방식 ex. jwt 방식