작성
·
133
1
안녕하세요
인증과 인가 취약점은 파라미터가 아닌 세션으로 검증해야 한다고 하셨는데요
그러면 세션은 항상 안전하다고 생각해도 괜찮은 건가요?
xss처럼 특정 사용자의 세션을 탈취하지 않는 이상 올바르게 구현된 세션, JWT 같은 방식으로 검증하는 것이 반드시 안전한 것인지 궁금합니다!
답변 1
0
일반적으로는 안전하다고 볼 수 있지만
세션이 파일로 저장되는데 웹 디렉터리 상에 있어서 웹으로 볼수있거나
DB에 저장되는데 SQL 인젝션 공격으로 세션을 탈취할 수 있거나
등... 이런 다양한 경로를 통한 잠재적 위협은 존재합니다.
JWT 경우도 안전하게 설계를 한다면 안전하다고 볼 수 있구요.