2013. 3. 19. 00:04 java
중요한 처리를 할 때에 생기는 취약성
[도서명] 안전한 웹을 위한 코딩 한줄의 정석
정규 이용자가 의도한 Request인지 여부를 판정하는 구체적인 방법으로서는 다음의 3종류가 있음
1 비밀 정보(토큰)을 심는다.
2 패스워드 재입력
3 Referer 체크
중요한 처리 실행 후에, 이용자에게 메일로 처리 내용에 대한 통지를 하는 것을 추천
세션 ID의 변경이 불가능한 경우는 토큰에 의한 방법으로 대체
- 로그인시에 난수 문자열(토큰)을 생성하고 쿠키와 세션 변수에 기억시키는 방법
- 각 페이지의 인증 확인시에 쿠키상의 토큰과 세션 변수의 토큰값을 비교하여 같으면
인증되었다고 인식
쿠키에는 secure 라는 속성이 있어, 이것을 지정한 쿠키는 HTTPS의 경우에만 브라우저에서 서버로 전송
'java' 카테고리의 다른 글
eval에서 발생하는 문제 (0) | 2013.03.19 |
---|---|
파일 접근에 발생하는 문제 (0) | 2013.03.19 |
쿠키와 세션 관리 (0) | 2013.03.18 |
owasp 보안 문서 (0) | 2013.03.12 |
세션 하이재킹 대책 (0) | 2013.03.05 |