SSO 세션 탈취 검사

사용자 인증을 탈취하기 위하여 공격하는 방법은 보통 2가지 정도가 있습니다. Replay 공격과 사용자 웹 브라우저에 존재하는 쿠키를 탈취하여 사용하는 방법 입니다.

1. 첫번째 Replay 공격은 사용자 브라우저를 통하여 전달되는 데이터를 중간에 가로채어 보유하고 있다가 동일한 곳으로 탈취한 데이터를 전달하여 인증을 다시 시도 하는 방법이다.

   이 방법은 인증 연계 Artifact 값이 재사용 되었는지 항상 체크하기 때문에 SSO에서는 차단됩니다.

2. 두번째 쿠키 탈취 방법은 인증이 모두 처리된 후 사용자 브라우저에 발급된 쿠키를 탈취하여 추후 사용하는 방법입니다. 쿠키를 탈취하는 이유는 SSO를 모든 웹 응용프로그램은 사용자 구분을 위하여 쿠키를 사용할 수밖에 없기 때문이다.

SSO Agent 에서는 인증된 사용자에 대하여 쿠키 탈취 여부를 확인할 수 있는 "CheckHijacking" 이라는 API를 제공합니다. 만약 탈취된 세션이라고 분석되면 자동으로 로그오프를 수행하게 됩니다.

개발하기 챕터에서 개발언어 별로 "SSO 세션 탈취 검사하기" 부분에서 상세하게 볼 수 있습니다.

해당 API 사용 시 주의사항

• 인증 상태 확인 결과 인증 성공(SSOSuccess)일 경우에만 사용해야 합니다.

• JSON이나 XML 결과만을 반환하는 페이지에서는 사용해서는 안됩니다.

• 쿠키 탈취를 확인하는 스크립트가 강제로 만들어지기 때문에 JSON 데이터를 분석할 수 없게 됩니다.

"SSO연동을 위한 업무시스템의 작업" 페이지로 돌아가기