4.1 세션 통제
1. 보안약점 항목
- 잘못된 세션에 의한 데이터 정보 노출
2. 설명
3. 보안대책
- 세션 간 데이터가 공유되지 않도록 설계해야 한다.
- 세션이 안전하게 관리되도록 해야 한다.
- 세션ID가 안전하게 관리되도록 해야 한다.
4. 진단기준
- 세션이 안전하게 관리되도록 설계되어 있는가?
- 세션이 안전하게 관리되는지를 점검하는 테스트 계획이 수립되어 있는가?
사례1 : 불충분한 세션관리
인증시 일정한 규칙이 존재하는 세션ID가 발급되거나 세션 타임아웃을 너무 길게 설정한 경우 공격자에
의해 사용자 권한이 도용될 수 있는 취약점이다.
사례2 : 잘못된 세션에 의한 정보노출
다중 스레드 환경에서는 싱글톤(Singleton)객체 필드에 경쟁조건(Race Condition) 발생할 수 있다.
따라서, 다중 스레드 환경인 java의 서블릿(servlet) 등에서는 정보를 저장하는 멤버변수가 포함되지
않도록 하여, 서로 다른 세션 간에 데이터를 공유하지 않도록 해야 한다.
'IT정보 > SW보안약점 진단원' 카테고리의 다른 글
구현단계 보안 약점 중 확인 사항 (0) | 2023.09.18 |
---|---|
SW보안약점 진원원 시험 공부 (0) | 2023.09.15 |
3.1 예외처리 (0) | 2023.09.03 |
2.8 중요정보 전송 (0) | 2023.09.02 |
2.7 중요정보 저장 (0) | 2023.08.25 |