[보안 해킹] 홈페이지 개발 보안 - 불충분한 세션관리
■ 취약점 설명
- 인증 시 마다 동일한 세션 ID가 발급되거나 세션 타임아웃을 너무 길게 설정하여 공격자가 세션을 재사용 할 수 있는 취약점
■ 보안대책
⑴ 세션 ID는 로그인 시 마다 추측할 수 없는 새로운 세션 ID로 발급
⑵ 세션 타임아웃 설정을 통해 일정시간(최대 30분 이상) 동안 움직임이 없을 경우 자동 로그아웃 되도록 구현
■ 코드예제
- 세션 유지 시간을 10000분으로 설정하여 세션 타임아웃 시간 설정이 의미가 없게 코딩되어 있으며, 중복 로그인을 허용하는 형태의 코딩
- 세션 유지 시간을 20분이내로 설정하고, 중복 로그인을 허용하지 않도록 코딩
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Security > Hacking & Security' 카테고리의 다른 글
| [보안 해킹] 홈페이지 개발 보안 - 쿠키변조 (3) | 2016.11.01 |
|---|---|
| [보안 해킹] 홈페이지 개발 보안 - 데이터 평문전송 (0) | 2016.10.31 |
| [보안 해킹] 홈페이지 개발 보안 - 취약한 계정 생성 허용 (0) | 2016.10.28 |
| [보안 해킹] 홈페이지 개발 보안 - URL/파라미터 변조 (0) | 2016.10.27 |
| [보안 해킹] 홈페이지 개발 보안 - HTTP 응답분할 (0) | 2016.10.26 |