쿠키와 세션의 차이는 뭔가요?

 

 

 

사진출처 : https://ji5485.github.io/post/2020-08-01/what-is-cookie-and-session/

 

 

 

 

쿠키와 세션을 간단하게 말하면 

세션 : 실제 사용자의 연결된 정보

쿠키 : 세션을 받기위한 클라이언트 인식값

 

 

 

 

 

 

#쿠키

 

서버측에서 요청자측에 상태정보를 저장하고 추출할수 있는 메모장

클라이언트의 매요청마다 웹브라우저로부터 서버에 전송되는 정보 패킷

클라이언트에 저장해두었다가 서버 접속시 서버가 클라이언트의 이전 접속 정보를 빠르게 읽어들일때 사용

 

 

•  쿠키(Cookie):
  • 쿠키는 클라이언트 측(브라우저)에 저장되는 작은 데이터 조각입니다.
  • 서버에서 클라이언트로 전송되어 브라우저에 저장됩니다.
  • 주로 사용자가 웹 사이트를 방문할 때 사용자의 상태 정보를 유지하거나 추적하기 위해 사용됩니다.
  • 만료 날짜를 설정하여 일시적으로 저장되는 세션 쿠키와 영구적으로 저장되는 지속적인 쿠키로 구분됩니다.
  • 보안 문제로 인해 클라이언트 측에서는 중요한 정보를 저장하지 않는 것이 좋습니다.

 

 

 

#세션

요청자와 서버간에 네트워크 연결이 유지되고 있는 상태 또는 연결창

1. 세션(Session):
   • 세션은 서버 측에 저장되는 데이터 저장 방식입니다.
   • 클라이언트가 서버에 연결할 때 서버에 의해 생성됩니다.
   • 클라이언트에 대한 고유한 식별자(session ID)를 생성하여 사용자 세션을 식별합니다.
   • 주로 사용자의 로그인 상태, 장바구니 정보 등과 같은 중요한 데이터를 저장하기 위해 사용됩니다.
   • 보안적으로 쿠키보다 안전한데, 세션 데이터는 클라이언트에 저장되지 않기 때문에 외부에서 직접 접근할 수 없습니다.
   • 일반적으로 세션은 일정 시간이 지나면 만료되며, 사용자가 로그아웃하거나 브라우저를 닫을 때까지 유지됩니다.

 

 

#쿠키와 세션의 차이

 

쿠키는 텍스트 형식으로 클라이언트 하드에 저장됨

세션은 서버에 서비스나 기타 주제에 따라 별도로 저장되는 연결값

 

 

 

 

그럼 우리가 쿠키 와 세션을  왜 알아야 할까? 

 

가장 큰이유는 세션 하이제킹(session hijacking) ,XSS(Cross Site Script) 공격 그리고 그외에 다양한 해킹

공격을 이해하고 방어하기 위해서이다 

 

어떻게 그럼 해킹 되는지는 아래에서 확인 할수있다 

 

 

https://sarimus.tistory.com/55

Web Security DAY_005 XSS , Session Hijacking , 쿠키를 통한 세션탈취 , 세션 하이제킹 , reflect XSS , stored XSS ,

 

 

 

 

그리고 나중에 아래에 링크에 들어가면 

어느 웹사이트를 모의해킹 했을때 하나의 취약점으로 발견될수있기 때문이다

 

https://sarimus.tistory.com/68

Web Security DAY_010 홈페이지 해킹하기 , 홈페이지 취약점 분석, upload 취약점 , download 취약점 , 업로

 

 

 

어떻게 그러면 위와 같은 취약점을 보완할까? 

 

 

1. 중요한 단계나 사이트갱신시 쿠키를 재갱신하여 이전쿠키로

세션정보를 가져올수 없도록함

 

2. 로그아웃과 같은 수단으로 쿠키를 가지고 있어도 세션을 사용할수 없도록 함