중요한 처리를 할 때에 생기는 취약성

[도서명] 안전한 웹을 위한 코딩 한줄의 정석

 

정규 이용자가 의도한 Request인지 여부를 판정하는 구체적인 방법으로서는 다음의 3종류가 있음

1 비밀 정보(토큰)을 심는다.

2 패스워드 재입력

3 Referer 체크

 

중요한 처리 실행 후에, 이용자에게 메일로 처리 내용에 대한 통지를 하는 것을 추천

 

세션 ID의 변경이 불가능한 경우는 토큰에 의한 방법으로 대체

 - 로그인시에 난수 문자열(토큰)을 생성하고 쿠키와 세션 변수에 기억시키는 방법

 - 각 페이지의 인증 확인시에 쿠키상의 토큰과 세션 변수의 토큰값을 비교하여 같으면

   인증되었다고 인식

 

쿠키에는 secure 라는 속성이 있어, 이것을 지정한 쿠키는 HTTPS의 경우에만 브라우저에서 서버로 전송