전자정부 프레임워크에서 JSESSIONID 변경
- 작성자 :
- 김*원
- 작성일 :
- 2020-07-22 14:15:20
- 조회수 :
- 4,861
- 구분 :
- 운영환경
- 진행상태 :
- 완료
Q
안녕하세요. 시스템 보안중 사설 본인인증(PASS) 후 사용자 입력 폼을 받고 나서 JSESSIONID 값에 대한 갱신 처리에 대해 질문 드립니다.
본인인증 진입전 JSESSIONID 를 쿠키 정보로 확인 후 본인인증 후 사용자 정보 입력 form 입력 후 JSESSIONID 를 변경해야 합니다.
보안 취약점으로 노출되어 변경해야 하는 상황입니다. 방법이 없을까요?
본인인증 진입전 JSESSIONID 를 쿠키 정보로 확인 후 본인인증 후 사용자 정보 입력 form 입력 후 JSESSIONID 를 변경해야 합니다.
보안 취약점으로 노출되어 변경해야 하는 상황입니다. 방법이 없을까요?
A
안녕하세요.
표준프레임워크센터 입니다.
개발 또는 운영중인 시스템의 구성을 저희가
정확히 알수는 없으나
JSESSIONID의 관리는 기본적으로 WAS에서 하게 됩니다.
따라서 기본적으로 HTTP로 웹에 접속시 하나의 세션ID가 기본적으로 생성이 될것입니다.
본인인증시 새로운 세션에 저장시에는
기존 세션에 대해
session.invalidate()등을 통하여 기존 세션을 만료 시키면
새로운 세션이 추가되면서 변경이 발생할듯 합니다.
다만, 개발사업단 내부의 구현코드의 특성이 존재할수 있고
보안적으로 민감한 부분이므로
다양한 검토가 필요할 것으로 예상됩니다.
감사합니다.
표준프레임워크센터 입니다.
개발 또는 운영중인 시스템의 구성을 저희가
정확히 알수는 없으나
JSESSIONID의 관리는 기본적으로 WAS에서 하게 됩니다.
따라서 기본적으로 HTTP로 웹에 접속시 하나의 세션ID가 기본적으로 생성이 될것입니다.
본인인증시 새로운 세션에 저장시에는
기존 세션에 대해
session.invalidate()등을 통하여 기존 세션을 만료 시키면
새로운 세션이 추가되면서 변경이 발생할듯 합니다.
다만, 개발사업단 내부의 구현코드의 특성이 존재할수 있고
보안적으로 민감한 부분이므로
다양한 검토가 필요할 것으로 예상됩니다.
감사합니다.