탈취 사용의 의미
세션 방식에서는 세션을 식별할 수 있는 session_Id가 발급된다. A의 세션아이디를 탈취해서 B가 A의 키로 접속하면 A의 계정으로 로그인할 수 있다. JWT도 마찬가지이다. 이건 단순한 탈취이지 위변조라고 하지는 않는다.
A의 세션Id나 토큰을 모르는 상태서 B가 A의 공개된 정보를 이용해 키를 만들어낼 수 있는가?
혹은 B 자신의 토큰을 변조해서 높은 권한을 취득할 수 있는가를 등을 보통 위변조라고 한다.
세션이나 JWT 모두 이렇게 하기는 어렵다.
탈취해서 사용하는 경우를 막으려면 첫째, 토큰의 탈취를 어렵게 한다. 둘째. 토큰을 탈취해도 사용하기 어렵게 만든다 는 방법이 있다.
httpOnly / httpsOnly cookie에 보관하면 적어도 XSS 등에 의해 탈취되는건 막을 수 있다.
하지만 서버 자체가 해킹을 당했다면 방법이 없다. 이를 방지 하기 위해 토큰의 exp를 짧게 한다거나 특정 IP에서만 사용할 수 있게 해준다.
'네트워크&통신' 카테고리의 다른 글
| (네트워크) CORS 동작 방식 (0) | 2022.03.18 |
|---|---|
| (HTTP) Server(Backend) 측면에서 CORS (Cross-Origin Resource Sharing). 교차 출처 자원 공유 (0) | 2021.11.27 |
| (네트워크/통신) HTTP 구조 (0) | 2021.11.21 |
