왜 제 사이트는 이글루스 처럼 동작하지 않죠? 블록

요새 제 사이트 보안처리를 하면서 기존의 서버 세션 쿠키 외에 브라우저 쿠키를 생성해 로그인시 마다 랜덤한 값을 쿠키와 세션에 할당하고 서버 세션 쿠키값과 로컬 컴퓨터 브라우저 쿠키값과 비교해 세션 하이재킹 방지 인증을 하는데 이게 브라우저 쿠키나 서버세션 쿠키나 다같이 서버세션 쿠키 저장되는 곳에 저장이 되고 아무리 브라우저 쿠키를 해킹 타겟 클라이언트 컴에서 생성했다고 하더라도 서버 세션에 담을 때는 서버 쪽에서도 동일한 쿠키값이 저장되기 때문에 인증하는 처리가 곤란하게 되는데 이게 결국은 서버 세션 쿠키 값이나 브라우저 쿠키 값이나 브라우저에 사이트가 로드될 땐 브라우저는 브라우저 대로 서버는 서버대로 동일한 쿠키값을 사용하게 되어 익스에 설치한 해킹툴에 쿠키값이 노출될 때는 다른 컴에서 동일한 해킹툴에다가 그 쿠키값을 입력하기만 하면 아무리 타겟 컴에서 쿠키를 생성했다고 하더라도 해커 컴에서 쿠키가 생성되면서 로그인 처리가 되기 때문에 이 부분을 어떻게 처리해야 할지 모르겠습니다.

혹시 알고 계신 분 있으면 힌트 좀 얻고 싶은데 도무지 세션을 유지하면서 서버 세션값과 로컬 컴퓨터 브라우저 쿠키를 이용해 세션하이재킹을 막는 방법을 모르겠네요. 요새 이것 때문에 머리 빠지겠습니다. 이글루스는 블로그에 로그인한 뒤 아무리 다른 컴퓨터에서 쿠키값을 해킹툴에 대입해도 로그인이 안되던데 분명 저희집에서 동일한 아이피를 사용하는데도 안뚫리는거 보면 어떤 방법이 있는것 같은데 그걸 모르겠네요.

지금 작업을 조금 진행시켰는데 이 부분에서 진도가 나가질 않고 있습니다. 도움을 얻고 싶습니다.

덧글

  • 희망의빛™ 2014/09/18 19:29 # 답글

    혹시 컴퓨터 맥어드레스 인증을 했느냐 하지 않았느냐 하는 차이점이 아닐까요? 어디선가 들은것 같기도 합니다만... ㅡ_ㅡ;
  • 2014/09/18 20:36 # 삭제 답글

    소원이 있다면 당신의 글을 밸리에서 보고싶지 않다는 점. 어떻게 하라는 건지.
  • windily 2014/09/18 22:16 # 답글

  • 희망의빛™ 2014/09/20 22:02 #

    좋은 정보인듯 합니다. 현재 열심히 궁리중입니다. 일단 해석부터 먼저해야할 것 같네요. 감사드립니다. ^^;
댓글 입력 영역
* 비로그인 덧글의 IP 전체보기를 설정한 이글루입니다.


웹로그 검색