민감한 쿼리 문자열과 함께 GET 요청 메서드 사용 (세션 ID)

GET 요청 URL에 세션 ID가 포함되면 프록시 시스템, 브라우저 히스토리, 로그 파일에 노출될 수 있는 보안 취약점 설명

설명 # 요청 URL과 쿠키 값 모두에서 세션 ID가 식별되었습니다. 세션 ID는 GET 요청에 포함되어서는 안 됩니다. GET 요청의 경우 프록시 시스템에 캡처되거나, 브라우저 히스토리에 저장되거나, 로그 파일에 기록될 수 있기 때문입니다. 공격자가 세션 ID에 접근할 수 있게 되면 대상 계정에 무단으로 접근할 가능성이 있습니다. 해결 방법 # 요청 헤더는 제3자 시스템에 의해 기록되거나 캡처되는 경우가 드물기 때문에, 세션 ID 값은 쿠키( Set-Cookie 응답 헤더를 통해 설정)를 통해서만 전송되어야 하며, 요청 URL에는 절대 포함되어서는 안 됩니다. 세부 정보 # ID Aggregated CWE 유형 위험도 598.1 true 598 Passive Medium 링크 # OWASP CWE