시스템 관리자는 사용자 세션을 인증하려고 HTTP 쿠키(DSID)를 발생하는데, 클라이언트 구성 요소(즉, NC/WSAM/Pulse)와 웹 브라우저에서 공유한다. 보통 웹 브라우저는 보안 문제 때문에 쿠키를 저장하지 않는다. 따라서 공격자가 DSID 쿠키를 획득해 시스템 관리자 세션에서 접근 권한을 획득하는 것은 상대적으로 쉬운 일이다.3
이것이 바로 사용자의 세션 쿠키Session Cookie다. 이 쿠키를 가로채 웹 브라우저에서 이것을 생성하면 해당 사용자가 된다. 그럼, 파이어폭스를 실행하고 VPN 서버에 연결한 후 Web Developer 탭의 [Cookies < View Cookie Information] 메뉴를 선택하자.
▲ 그림 3-12 Heartbleed - 쿠키 추가
3 http://kb.juniper.net/InfoCenter/index?page=content&id=KB23255