※본 내용은 스스로 공부하며 중요하다고 생각하는 부분만 정리한 내용입니다.
공부 서적(시나공 정보처리기사 필기책)
출처: 시나공 정보처리기사 필기
저자: 김정준,강윤석,김용갑,김우경
출판사 : 길벗
세션 통제
정의
- 세션의 연결과 연결로 인해 발생하는 정보 관리하는 것
- 요구사항 분석 및 설계 단계에서 진단
- 일정한 규칙이 존재하는 세션ID 발급이거나 타임아우시 너무 길게 설정된 경우 발생
- 세션 관리 충분하지 않을 경우 세션 하이재킹으로 중요한 정보에 접근 가능
잘못된 세션에 의한 정보 노출
- 다중 스레드 환경에서 멤버 변수에 저장할 때 발생
- 싱글톤에서 발생하는 레이스컨디션으로 동기화 오류 발생/멤버 변수의 정보 노출
- 변수의 범위를 제한으로써 방지 가능
세션 설계시 고려사항
- 모든 페이지 로그아웃 가능하도록 구성, 로그아웃 요청시 할당된 세션 완전히 제거
- 타임아웃 중요도 높으면 2~5분, 낮으면 15~25분 설정
- 이전 세션 종료되지 않으면 새 세션 생성 X, 세션 관리 정책 수립
- 패스워드 변경시 활성화된 세션 삭제후 재할당
- 최소 128비트 길이, 안전한 난수 알고리즘, URL Rewrite 기능 X
- 로그인 전 세션 ID 삭제하고 재할당, 주기적 재할당
'정보처리기사' 카테고리의 다른 글
정보처리기사 필기(소프트웨어 개발 보안 구축) 보안 기능 (0) | 2022.03.03 |
---|---|
정보처리기사 필기(소프트웨어 개발 보안 구축) 입력 데이터 검증 및 표현 (0) | 2022.03.03 |
정보처리기사 필기(소프트웨어 개발 보안 구축) Secure SDLC (0) | 2022.03.02 |
정보처리기사 필기(IT프로젝트 정보시스템 구축관리) 데이터 표준화 (0) | 2022.03.02 |
정보처리기사 필기(IT프로젝트 정보시스템 구축관리) 교착상태 (0) | 2022.03.02 |
댓글