세션 쿠키

세션 쿠키가 올바른 플래그와 만료 시간을 가지고 있는지 확인합니다.

설명 # 세션 쿠키에 올바른 플래그와 만료 시간이 있는지 확인합니다. 해결 방법 # HTTP는 상태 비저장 프로토콜이므로 웹 사이트는 일반적으로 쿠키를 사용하여 요청에서 요청으로 사용자를 고유하게 식별하는 세션 ID를 저장합니다. 따라서 여러 사용자가 같은 계정에 액세스하는 것을 방지하기 위해 각 세션 ID의 기밀성을 유지해야 합니다. 도용된 세션 ID는 다른 사용자의 계정을 보거나 사기 거래를 수행하는 데 사용될 수 있습니다. 세션 ID 보안의 한 부분은 만료 시간을 올바르게 표시하고 평문으로 전송되거나 스크립팅에서 액세스되지 않도록 올바른 플래그 세트를 요구하는 것입니다. HttpOnly는 Set-Cookie HTTP 응답 헤더에 포함된 추가 플래그입니다. 쿠키를 생성할 때 HttpOnly 플래그를 사용하면 보호된 쿠키에 클라이언트 측 스크립트가 액세스하는 위험을 완화하는 데 도움이 됩니다(브라우저가 이를 지원하는 경우). HTTP 응답 헤더에 HttpOnly 플래그(선택 사항)가 포함된 경우 클라이언트 측 스크립트를 통해 쿠키에 액세스할 수 없습니다(브라우저가 이 플래그를 지원하는 경우). 따라서 사이트 간 스크립팅(XSS) 결함이 존재하고 사용자가 이 결함을 악용하는 링크에 실수로 액세스하더라도 브라우저는 쿠키를 제3자에게 노출하지 않습니다. HTTPS 세션에서 민감한 쿠키에 대한 Secure 속성이 설정되지 않아 사용자 에이전트가 HTTP 세션을 통해 평문으로 쿠키를 보낼 수 있습니다. 세션 관련 쿠키가 안전하지 않은 전송 프로토콜에서 사용되는 것으로 확인되었습니다. 안전하지 않은 전송 프로토콜은 연결 보안에 SSL/TLS를 사용하지 않는 프로토콜입니다. 이러한 프로토콜의 예로는 'http'가 있습니다. 불충분한 세션 만료는 웹 애플리케이션이 공격자가 이전 세션 자격 증명이나 세션 ID를 인증에 재사용할 수 있도록 허용할 때 발생합니다. 불충분한 세션 만료는 사용자의 세션 식별자를 도용하거나 재사용하는 공격에 대한 웹 사이트의 노출을 증가시킵니다. 링크 # OWASP CWE