쿠키를 변조해서 서버에 요청을 보낼 수 있다.
쿠키에 인증상태를 저장하지만 클라이언트가 인증 정보를 변조할수 없게 하기위해 세션(Session)을 사용한다.
세션은 인증 정보를 서버에 저장하고 해당 데이터에 접근할수 있는 키 (유추할수없는 랜덤한 문자열)
를 만들어서 클라이언트에 전달하는 방식으로 작동
해당키를 Session ID라고 한다.
브라우저는 해당키를 쿠키에 저장하고 이후에 HTTP요청을 보낼때 사용
서버는 요청에 포함된 키에 해당하는 데이터를 가져와 인증 상태를 확인
쿠키는 데이터 자체를 이용자가 저장 하며 세션은 서버가 저장한다는 핵심적인 차이가 있다.
세션 하이재킹(Session Hijacking)
타 이용자의 쿠키를 훔쳐 인증 정보를 획득하는 공격
쿠키에는 여러분의 세션 정보가 저장되어 있고 서버는 이를 통해 이용자 식별하고 인증을 처리
공격자가 이용자의 쿠키를 훔칠 수 있으면 세션에 해당하는 이용자의 인증 상태를 훔칠 수 있는데, 이를 세션 하이재킹 (Session Hijacking) 이라고 한다.
