쿠키와 세션

※ 본 내용은 공부 목적으로 작성된 내용입니다 ※ 잘못된 부분이 있으면 언제든지 댓글로 알려주세요!

 

 

🍪 쿠키(Cookie)란

 

사용자가 웹 브라우저에 방문할 때 클라이언트 측에 저장되는 key=value 쌍의 문자열로 구성된 작은 파일입니다

웹 브라우저는 쿠키를 일정 시간 동안 저장하거나 사용자가 브라우저에 머무르는 동안 정보가 유지됩니다

예를 들어 온라인 쇼핑몰 브라우저에 민감하지 않고 서비스 제공에 필요한 데이터를 쿠키로 설정하여 정보를 유지합니다

 

또한 쿠키는 HTTP 프로토콜의 비상태성을 보완하여 등장했습니다 그러나 쿠키는 사용자가 연속된 요청을 식별하거나 사용자 인증에도 사용되는 반면에 공격자의 표적이 되기 쉽습니다

 

비상태성 : HTTP 프로토콜은 요청과 응답을 주고받는 도중 상태(Status)를 저장하지 않습니다 따라서 HTTP 프로토콜 이전에 보냈던 요청이나 응답을 기억하지 못합니다 간단히 설명하자면 HTTP로 데이터를 요청하고 다시 한번 데이터를 요청했을 때 이전에 요청한 데이터를 기억하지 못하는 것을 HTTP 비상태성(Stateless)이라고 합니다

 

정리 : 쿠키는 HTTP 프로토콜의 비상태성 특징으로 사용자의 요청을 식별하거나 사용자의 상태를 기억하기 위해 사용됩니다

---

🍪 쿠키의 용도

 

일반적으로 쿠키는 사용자의 데이터 상태를 기억하는 용도로 사용됩니다

 

• 세션 관리 : 사용자를 식별하고 사용자의 로그인 정보도 기억합니다
• 개인화 : 사용자별 맞춤형 광고나 웹 환경 설정 등 웹 사용에 개인화하기 위해 사용합니다
• 사용자 활동 추적 : 사용자의 웹사이트 사용 패턴이나 검색 습관 등을 분석하여 사용자가 선호할 만한 콘텐츠를 제안합니다

 

---

🍪 쿠키의 유형

 

1. 세션 쿠키(Session Cookie)

 

• 웹 브라우저가 종료될 때까지만 유효한 쿠키
• 사용자가 웹 브라우저에 머무르는 동안 인증 정보 등의 임시 데이터를 저장함
• 웹 브라우저를 닫으면 세션 쿠키가 사라짐
• 보안상의 이유로 일반적으로 사용자의 로그인 세션 유지에 사용됨

 

2. 영구 쿠키(Persistent Cookie)

 

• 설정한 유효 기간 동안 웹 브라우저에 저장되는 쿠키
• 세션 쿠키와 동일하게 사용자의 로그인 상태를 유지함
• 웹 브라우저를 닫아도 쿠키가 유지되어 재사용됨
• 브라우저의 설정이나 쿠키의 유효 기간을 설정하여 사용자가 선택적 삭제가 가능

---

🍪 쿠키를 발급하는 과정

 

쿠키는 클라이언트가 HTTP 요청을 수신한 서버가 응답을 회신할 때 Set-Cookie 응답 헤더를 통해 발급됩니다

 

Set-Cookie: Cookie-name=Some-Value;

 

Set-Cookie 응답 헤더는 다른 속성들을 통해 웹 브라우저가 쿠키를 처리하는 방법을 제어할 수 있습니다

 

[ Set-Cookie 속성과 예시 ]

1. 이름과 값 설정 : 쿠키의 이름과 해당하는 값을 설정 [ name ]

Set-Cookie: name=value

 

2. 유효 기간 설정 : 쿠키의 유효 기간을 설정하여 만료일 설정 [ expires ]

( ※ 유효기간을 과거로 설정하면 쿠키를 삭제할 수 있다 )

Set-Cookie: name=value; expires=Sat, 06 Oct 2023 00:00:00 GMT

 

3. 도메인 제한 : 쿠키를 특정 도메인 또는 하위 도메인으로 제한하여 전송 [ domain ]

Set-Cookie: name=value; domain=mu-sa.tistory.com

 

4. 경로 제한 : 쿠키를 지정된 경로에서만 전송되게 함 [ path ]

Set-Cookie: name=value; path=/musa

 

5. 보안 설정 : HTTPS 웹인 경우만 쿠키를 전송할 수 있으며 별도의 값은 없고, JavaScript의 의한 접근을 제한함 [ secure, HttpOnly ]

Set-Cookie: name=value; Secure
Set-Cookie: name=value; Secure; HttpOnly

 

서버에 의해 발급된 쿠키는 Set-Cookie를 통해 클라이언트에 저장되며, 클라이언트가 서버에 다시 요청하면 저장된 쿠키가 자동으로 서버로 전송됩니다 이때 서버는 다시 전송된 쿠키 값을 확인하고 사용자를 식별하게 됩니다

 

위에 사진을 보면 쿠키에 동작 방식을 간단하게 이해할 수 있습니다

 

클라이언트가 서버에 사용자 로그인 정보로 요청하면 서버는 해당 사용자에 쿠키 값을 클라이언트 쪽으로 전달하게 됩니다 이때 전송된 쿠키를 이용하여 foo의 장바구니 목록을 확인할 수 있습니다

 

---

🍪 쿠키의 문제점

 

 

쿠키는 클라이언트 측에 저장되는데 쿠키의 만료 시간을 지정하지 않으면 쿠키는 메모리에 저장되어 브라우저를 종료하면 쿠키가 사라지게 됩니다 하지만 만료 시간을 지정하면 쿠키가 파일로 저장되는데 이때 브라우저를 종료해도 쿠키가 삭제되지 않습니다 이럴 경우 해커에게 사용자 정보가 담긴 쿠키를 탈취할 가능성이 있습니다

 

( 쿠키는 클라이언트 측에서 조작이 가능하여 보안이 취약하다 )

 

---

💻 세션 (Session) 이란?

 

 

앞서 쿠키는 클라이언트 측에서 사용자의 정보를 조작할 수 있는 치명적인 보안 문제점이 있었습니다 이러한 문제점을 방지하기 위해 세션을 사용하는데 세션은 쿠키와 동일하게 일정 시간 동안 사용자와 웹 서버 간의 연결을 유지해 주는 기술입니다 

 

동작 원리는 클라이언트가 서버에 요청하면 서버의 응답을 통해 세션 ID를 생성합니다 이 세션 ID를 이용하여 상태 데이터를 저장하고 클라이언트의 세션 ID를 확인하여 정보를 전송합니다 이러한 점은 쿠키와 비슷하지만 쿠키는 클라이언트 측에 저장되는 방식과 다르게 세션은 서버 측에 저장되고 관리됩니다

 

 

세션의 동작 방식은 쿠키와 비슷하지만 서로 저장 방식이 다르다는 걸 알고 있으면 됩니다

 

---

💻 세션 (Session) 문제점

 

세션은 클라이언트의 상태 데이터가 서버에 저장되기 때문에 쿠키에 비해 상대적으로 안전하다고 볼 수 있습니다 하지만 세션 토큰(ID)가 공개적으로 노출된다면 해커가 피해자의 세션 토큰을 이용하여 데이터를 탈취할 수 있습니다

 

 

이러한 문제점을 방지하기 위해 아래의 방법을 시도해 봅시다

 

1. 암호화된 HTTPS 통신 사용 : 아무래도 HTTP는 암호화되지 않은 데이터를 전송하기 때문에 웹 사이트에서 전송된 정보를 다른 사용자가 몰래 가로챌 수 있습니다 반면에 HTTPS는 모든 데이터를 암호화된 형태로 전송하기 때문에 중간에 다른 사용자가 네트워크를 통해 해당 데이터를 가로채기가 힘듭니다

 

2. 쿠키의 보안 속성을 설정 : 위에서 설명한 쿠키의 보안 속성을 활용할 수 있습니다

 

• Domain과 Path : 쿠키가 전송될 도메인과 경로를 제한적으로 설정한다
• Secure : HTTPS 연결인 경우에만 쿠키가 전송되도록 설정한다
• HttpOnly : JavaScript를 통해 쿠키에 접근할 수 없도록 한다

 

[ 참고 자료 ]

[ 참고 사이트 ]

 

쿠키와 세션

 

쿠키와 세션 | Pentest Gym | 버그바운티클럽

 

쿠키와 세션 (ft. HTTP의 비연결성과 비상태성)

 

HTTP 쿠키 - HTTP | MDN