Broken Authentication - Logout Management :: bWAPP

A2. Broken AUthentication - Logout Management 문제를 풀어볼 것이다.

 

현재, 메인 화면에서 bee/bug로 로그인 된 상태입니다.

이 상태에서 here을 눌러 logout을 해줍니다.

 

sure을 묻는 메시지에 OK를 눌러주어 로그아웃을 해줍니다.

 

그러자 다시 main 화면의 Login 창으로 넘어온 것을 확인할 수 있다.

 

 

하지만 이 화면에서 뒤로가기를 누른다면,

 

다시 아까의 login 상태로 넘어온 것을 확인할 수 있다.

 

 

결과

: 이 사이트는 세션 관리 취약점 중, 세션이 자동 로그아웃되지 않고 유지되는 경우라고 볼 수 있다.

이는 로그인 세션이 아직 살아있어 생기는 문제로, 로그아웃 시 세션에 대한 처리가 되지 않아 생기는 문제이다.

이와 비슷한 것으로는 공공 장소의 컴퓨터를 로그인을 통해 사용했을 때, 세션 타임아웃이 되지 않는다거나, 

브라우저를 로그아웃 없이 닫았을 때, 자동 로그아웃이 되지 않는 경우가 있다.