Cookie

<Cookie>

1994년 넷스케이프에서 처음 사용한 기술이며 웹 사이트를 편리하게 이용할 수 있도록 만들어졌다. 

◆ 특징

 

 ▶ 사용자의 정보를 수집

 ▶ 사용자가 웹 사이트에 방문할 때 컴퓨터에 4KB 이하의 크기로 저장됨(각 웹 사이트별로 파일 생성)

 ▶ 웹 사이트 방문 기록을 사용자의 컴퓨터에 남겨 사용자와 웹 사이트를 연결해 주는 정보를 담고 있음(나중에 사용자가 사이트에 다시 접속할때 쿠키 내용을 서 버에 전송)  

 ▶ 나중에 사용자가 그 사이트에 다시 접속할 때 쿠키 내용을 이용해 사용자의 신분을 알 수 있음

 

1) 사용자의 로그인 정보

ex)네이버에 접속하면 3way handshaking을 맺고 해제 한다. 그 다음 로그인을 한다음에도 tcp연결은 해제 된다. 그러나 이 상태가 계속 유지되면서 다른 것들을 할 수 있는 이유는 쿠키가 로그인 정보를 가지고 있기 때문에 다른 서비스를 요청할때 쿠키정보도 같이 보내기 때문에 가능하다.

ex)네이버에 로그인 하고 새 탭을 열어서 네이버 접속해도 로그인되어있다. 이 때 처음 로그인시 인증 받았던 쿠키를 서버에 전송하기 때문에 가능.

그러나 웹브라우저를 껐다가 다시 켰을때는 로그인 되어있지 않다. 연결이 끊어지고 쿠키를 보내지 않기 때문에.?

 

2) 웹 사이트 개인화 : 사용자가 웹사이트를 이용하는 성향도 파악함

ex) 웹사이트의 광고는 사용자의 성향을 파악하여 그에 맞춰 광고가 뜬다-> 자주 보던 정보가 쿠키에 저장 되기 때문에

 

3) 장바구니

 

4) 웹 사이트 이용 방식 추적 : 사용자가 어떤 웹 사이트를 서핑 했는지 정보 추적 

 => 이것을 가지고 타겟 마케팅(광고), 가장 잘되어있는게 구글.

 

Daum 같은 경우 Cookie Session을 계속 검증.

Naver 같은 경우 더블 체크를 하지 않기 때문에 다른 서비스 이용해서 로그아웃 되었을 때 계속 로그인 쿠키 정보를 복사해서

set하면 로그인되어 서비스를 이용할 수 있게 된다.

또, 로그아웃과 창을 닫는 것과는 차이가 있다.

로그아웃은 해당 되는 웹 서버에 로그아웃을 요청하고 서버는 로그인 했던 쿠키 정보를 파기.

하지만 창을 닫아버리면 서버에 요청을 하지 않았기 때문에 복사 해뒀던 로그인 쿠키정보를 다시 set 하면 먹힌다.

 

<cookie injection 공격>

-되는 사이트가 있고 안되는 사이트가 있다.

* cookie 보는법

인터넷옵션 -> 검색기록 -> 설정-> 현재위치, 파일보기

* Cooxie IE Toolbar 설치

인터넷 익스플로러 실행

메뉴->보기->도구모음->Cooxie  있는지 확인해보고 있다면 체크. 없다면 아래에서 다운로드 받은다음 설치!

www.diodia.com

<로그인 쿠키 정보를 훔쳐서 cooxie toolbar를 이용해 로그인 하는 법>

네이버 로그인 -> 로그인 쿠키정보 따로 복사-> 로그아웃.-> 다시 네이버 접속-> cooxie toolbar ->edit에 복사한것 붙여넣기->set 클릭->F5 키 누른다.

-> 로그인 완료