ASP.NET_SessionId 명을 변경하는 이유는 무엇인가?
세션 고정 취약점에 대한 처리를 위해 구글링 하던 중에 ASP.NET_SessionId 명을 변경하는 방법에 대한 글을 보게되었다.
생각보다 간단했다.
web.config 파일을 열고 sessionState 태그가 없다면 추가하고 cookieName=”test” 지정하고 웹사이트를 띄워보면
“ASP.NET_SessionId”가 “test”로 변경되었음을 알 수 있다.
sessionState Element 참고
<system.web>
<sessionState cookieName=”test” />
</system.web>
궁금증이 생겼다. 왜 rename을 할까????