• 카테고리

    질문 & 답변

  • 세부 분야

    보안

  • 해결 여부

    미해결

접근 제어 로직 구현 실수 관련해 질문있습니다.

24.03.20 22:38 작성 조회수 51

1

안녕하세요

인증과 인가 취약점은 파라미터가 아닌 세션으로 검증해야 한다고 하셨는데요

그러면 세션은 항상 안전하다고 생각해도 괜찮은 건가요?

xss처럼 특정 사용자의 세션을 탈취하지 않는 이상 올바르게 구현된 세션, JWT 같은 방식으로 검증하는 것이 반드시 안전한 것인지 궁금합니다!

course-thumbnail

안전한 웹 사이트 제작을 위한, 웹 보안 원 포인트 레슨

LESSION 12) 접근 제어 로직 구현 시 자주하는 실수와 올바른 구현 방법

강의실 바로가기

답변 1

답변을 작성해보세요.

0

크리핵티브님의 프로필

크리핵티브

지식공유자

2024.03.21

일반적으로는 안전하다고 볼 수 있지만

세션이 파일로 저장되는데 웹 디렉터리 상에 있어서 웹으로 볼수있거나

DB에 저장되는데 SQL 인젝션 공격으로 세션을 탈취할 수 있거나

등... 이런 다양한 경로를 통한 잠재적 위협은 존재합니다.

JWT 경우도 안전하게 설계를 한다면 안전하다고 볼 수 있구요.

이 글과 비슷한 Q&A