Session Mgmt. - Cookies (Secure) : low, medium

● Secure: 웹브라우저와 웹서버가 https로 통신하는 경우만 웹브라우저가 쿠키를 서버로 전송하는 옵션

 

- level : low

HttpOnly문제와 같이 Cookies를 보면 쿠키값이 뜬다.

 

BurpSuite로

서버로부터 오는 응답을 확인해보았다.

빨간박스를 보면 httponly옵션만 설정되어있다.

 

 

이번엔 medium level로 접속해서 low level과 어떤 차이가 있는지 확인해보자

 

-level : medium

Cookies를 눌렀을 때 low level과 security_level값 말고는 다른게 없어보인다. 

다만, low level에서는 볼 수 없었던 새로운 문구가 추가되었다.

이 페이지에서는 ssl채널로 접속해야 완전한 기능을 한다고한다.

 

우선 서버의 응답을 확인해보자

secure 옵션이 추가된 것을 확인할 수 있고 top_security의 값이 maybe로 설정되어있는 것을 확인할 수 있다.

secure옵션은 https로 통신할 때에 해당되는 옵션이므로

https://로 접속해보았다.

 

top_security값이 maybe인것을 확인 할 수 있다.

 

 

 

마지막으로 wireshark를 통해서 http로 접속했을 때와 https로 접속했을 때의 차이를 살펴보자

 

http로 통신했을 때 패킷캡쳐 화면이다.

요청패킷과 응답패킷을 통해 쿠키정보를 확인할 수 있다.

 

요청패킷

 

응답패킷

 

https로 통신했을 때 패킷 캡쳐화면이다.

패킷내용을 살펴봐도 데이터를 암호화해 통신하기때문에 쿠키정보는 확인할 수 없었다.

 

---

참고한 사이트

m.blog.naver.com/PostView.nhn?blogId=is_king&logNo=221594705013&proxyReferer=https:%2F%2Fwww.google.com%2F

developer.mozilla.org/en-US/docs/Web/HTTP/Cookies#Secure_and_HttpOnly_cookies