사용자 쿠키 웹취약점 관련
- 작성자 :
- 오*석
- 작성일 :
- 2013-05-24 16:29:55
- 조회수 :
- 1,226
- 구분 :
- 실행환경
- 진행상태 :
- 완료
Q
현재 운영중인 사이트 웹취약점 점검 결과 "사용자 쿠키, 인증 정보 노출"에서 취약하다는 결과가 나왔습니다.
전자정부프레임워크 2.0의 스프링 시큐리티를 이용한 인증방식을 이용하여 로그인하고 있습니다.
전자정부프레임워크 2.0으로 구축된 다른 사이트도 점검해보니 같은 취약점이 발견되는 것을 확인하였습니다.
해당 사항에 대해서 해결 방법을 알려주세요.
파일첨부 하였습니다. 감사합니다.
전자정부프레임워크 2.0의 스프링 시큐리티를 이용한 인증방식을 이용하여 로그인하고 있습니다.
전자정부프레임워크 2.0으로 구축된 다른 사이트도 점검해보니 같은 취약점이 발견되는 것을 확인하였습니다.
해당 사항에 대해서 해결 방법을 알려주세요.
파일첨부 하였습니다. 감사합니다.
A
안녕하세요. 오정석님.
해당 문제는 표준프레임워크만의 문제가 아니라 WAS 상에서 session을 사용하는 경우(cookie-based session 관리)에 해당됩니다.
(Spring security도 내부적으로 session을 사용)
이 경우는 https를 적용하셔서 cookie에 정보가 network 상에 원문형태로 전송되지 않게 하거나, IP 제한, 세션 타임아웃 변경 등의 부분으로 조치를 하셔야 합니다.
보안 솔루션을 적용하시는 것도 방법 중에 하나일 것 같습니다.
그럼, 즐거운 하루되십시오.
감사합니다.
해당 문제는 표준프레임워크만의 문제가 아니라 WAS 상에서 session을 사용하는 경우(cookie-based session 관리)에 해당됩니다.
(Spring security도 내부적으로 session을 사용)
이 경우는 https를 적용하셔서 cookie에 정보가 network 상에 원문형태로 전송되지 않게 하거나, IP 제한, 세션 타임아웃 변경 등의 부분으로 조치를 하셔야 합니다.
보안 솔루션을 적용하시는 것도 방법 중에 하나일 것 같습니다.
그럼, 즐거운 하루되십시오.
감사합니다.
