전자정부프레임워크 2.6 session fixation 취약점 질문 입니다.
- 작성자 :
- 허*영
- 작성일 :
- 2016-11-29 17:55:47
- 조회수 :
- 1,059
- 구분 :
- 운영환경
- 진행상태 :
- 완료
Q
안녕하세요 전자정부프레임워크 2.6 사용자 입니다.
저희가 session fixation 취약점 관련하여 보완이 필요한 상황인데요.
전자정부프레임워크에서 이와 관련하여 지원방안이 있는지 궁금합니다.
현재 운영중인 상황이라 버전업을 하긴 어려울것 같습니다.
기술적인 방안 및 해결책이 마련되어있다면 공유 부탁드립니다.
중복 로그인을 허용하지 않는 옵션은 있는걸로 아는데요.. 이렇게 적용 했을때 방어가 되는건지 궁금합니다.
그리고 중복 로그인을 허용하면서 session fixation 취약점을 방어하려면 어떻게 해야하는지도 궁금합니다.
두서가 없네요..이만 줄입니다.
감사합니다.
저희가 session fixation 취약점 관련하여 보완이 필요한 상황인데요.
전자정부프레임워크에서 이와 관련하여 지원방안이 있는지 궁금합니다.
현재 운영중인 상황이라 버전업을 하긴 어려울것 같습니다.
기술적인 방안 및 해결책이 마련되어있다면 공유 부탁드립니다.
중복 로그인을 허용하지 않는 옵션은 있는걸로 아는데요.. 이렇게 적용 했을때 방어가 되는건지 궁금합니다.
그리고 중복 로그인을 허용하면서 session fixation 취약점을 방어하려면 어떻게 해야하는지도 궁금합니다.
두서가 없네요..이만 줄입니다.
감사합니다.
A
안녕하세요.
표준프레임워크 센터 입니다.
중복 로그인을 허용하지 않는 옵션은 있는걸로 아는데요.. 이렇게 적용 했을때 방어가 되는건지 궁금합니다.
>spirng security 설정간호화 이용시 concurrentMaxSessons(동시 접속가능 연결수) 옵션이 있습니다.
위키 : http://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rte3:fdl:server_security:xmlschema
>Session 인증 사용시 [요소기술 - 중복 로그인 방지 기능]요소기술이 있습니다.
위키 : https://www.egovframe.go.kr/wiki/doku.php?id=egovframework:com:v3:cmm:multilogin
그리고 중복 로그인을 허용하면서 session fixation 취약점을 방어하려면 어떻게 해야하는지도 궁금합니다.
> 센터에서 제공하는 이중등록 방지, Spring Security CSRF를 이용하여 토근방식의 검토하시면 될꺼 같습니다.
표준프레임워크 센터 입니다.
중복 로그인을 허용하지 않는 옵션은 있는걸로 아는데요.. 이렇게 적용 했을때 방어가 되는건지 궁금합니다.
>spirng security 설정간호화 이용시 concurrentMaxSessons(동시 접속가능 연결수) 옵션이 있습니다.
위키 : http://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rte3:fdl:server_security:xmlschema
>Session 인증 사용시 [요소기술 - 중복 로그인 방지 기능]요소기술이 있습니다.
위키 : https://www.egovframe.go.kr/wiki/doku.php?id=egovframework:com:v3:cmm:multilogin
그리고 중복 로그인을 허용하면서 session fixation 취약점을 방어하려면 어떻게 해야하는지도 궁금합니다.
> 센터에서 제공하는 이중등록 방지, Spring Security CSRF를 이용하여 토근방식의 검토하시면 될꺼 같습니다.