본문/내용
1. 세션 하이재킹이란
세션 하이재킹은 웹 애플리케이션에서 사용자의 세션 정보를 탈취하는 기법이다. 사용자가 웹사이트에 로그인할 때 생성되는 세션 쿠키나 토큰을 공격자가 가로채어 해당 사용자의 권한으로 시스템에 접근하게 되는 경우를 의미한다. 이 공격 방식은 주로 HTTP 프로토콜에 기초한 웹 애플리케이션에서 발생하며, 공격자는 정상적인 사용자가 인증에 사용한 세션 정보를 손에 넣음으로써 그 사용자의 권한을 무단으로 사용할 수 있다. 세션 하이재킹에는 여러 가지 기법이 존재한다. 가장 일반적인 방법 중 하나는 네트워크 스니핑이다. 공격자는 공용 Wi-Fi와 같은 비보안 네트워크에서 데이터 패킷을 가로채 세션 쿠키를 얻는다. HTTPS와 같은 보안 프로토콜이 적용되지 않은 경우, 이러한 패킷은 암호화되지 않아 공격자가 쉽게 읽을 수 있다. 다른 방법으로는 크로스 사이트 스크립팅(XSS) 공격을 통해 피해자의 브라우저에 악성 스크립트를 삽입하여 세션 정보를 탈취하는 것도 있다. 이 경우, 공격자는 사용자가 방문하는 웹페이지에 악성 코드를 주입하여 세션 쿠키를 공격자의 서버로 전송하게 만든다. 또한 세션 하이재킹은 세션 고정 공격(S…