-
connectionless 속성은 응답을 한 후에 끊어버리는 것, 그러니깐 로그인을 하고 일정시간이 지나면 로그아웃이 되는거고 stateless 속성은 네트워크 끊기면 강제 로그아웃
-
사용자가 서버에 로그인 할 때, 쿠키가 "이름=드림이" 라는 형태로 웹 브라우저에 저장되고 그 쿠키는 사용자의 이름과 비밀번호가 담겨 있어 이 쿠키만 있으면 로그인 없이 서버에 접속이 가능하다
-
사용자가 서버에 처음 로그인 하면, 서버에서 랜덤으로 세션, ticket=98b96a 을 발부하고, 그 티켓은 서버에 저장되고, 사용자의 쿠키로도 저장된다. 이후 사용자가 다시 로그인할 때 쿠키에 저장된 티켓을 통해, 서버가 "ticket=98b96a의 이용자는 드림이"를 알려준다
-
서버가 "ticket=98b96a의 이용자는 드림이" 를 기억하고 사용자는 쿠키로 저장된 세션(티켓)을 통해 로그인 페이지를 접속이 가능하다
-
외부 침입자는 세션을 유추할 수 없으나, 세션도 쿠키로 저장되어서 침입이 가능...하다??
세션이 어떻게 작동하는지 헷갈리네요 어디서 잘못됬는지 지적해주시면 감사하겠습니다,
긴 글 답해주셔서, 감사합니다ㅠㅠ
음..옴뇸뇽 먼저 한 가지 전제사항을 말씀드리면 유추할 수 없다고(추론할 수 없다고)
침입이 불가능한 것은 아닙니다
그래서 우회기법이 있는 것이겠지요
그 외 1, 2, 3, 4, 5 를 숙지하고 계시다면 이론적으로 문제는 없어보입니다
핵심은 정확히 파악하고 계십니다
여기에 더해서 직접 웹해킹 워게임을 풀어보시거나
웹 설계를 나름대로라도 해보시는 걸 추천드립니다
(웹을 직접 만드는 것이 너무 어렵다면 워게임을 직접 풀어보시면 정말 많은 도움이 되실 겁니다)
웹 같은 경우는 이론을 정확히 숙지하는 것도 중요하지만,
직접 할 때 굉장히 빨리 실력이 느는 영역입니다