※본 내용은 스스로 공부하며 중요하다고 생각하는 부분만 정리한 내용입니다.
공부 서적(시나공 정보처리기사 필기책)
시나공 정보처리기사 필기
〈2022 시나공 정보처리기사 필기〉는 출제기준에 포함된 125개의 학습 모듈을 완전 분해하여 정보처리기사 수준에 맞게 205개 섹션으로 엄선하여 정리하였습니다. 비전공자들이 쉽게 학습 방향
book.naver.com
출처: 시나공 정보처리기사 필기
저자: 김정준,강윤석,김용갑,김우경
출판사 : 길벗
세션 통제
정의
- 세션의 연결과 연결로 인해 발생하는 정보 관리하는 것
- 요구사항 분석 및 설계 단계에서 진단
- 일정한 규칙이 존재하는 세션ID 발급이거나 타임아우시 너무 길게 설정된 경우 발생
- 세션 관리 충분하지 않을 경우 세션 하이재킹으로 중요한 정보에 접근 가능
잘못된 세션에 의한 정보 노출
- 다중 스레드 환경에서 멤버 변수에 저장할 때 발생
- 싱글톤에서 발생하는 레이스컨디션으로 동기화 오류 발생/멤버 변수의 정보 노출
- 변수의 범위를 제한으로써 방지 가능
세션 설계시 고려사항
- 모든 페이지 로그아웃 가능하도록 구성, 로그아웃 요청시 할당된 세션 완전히 제거
- 타임아웃 중요도 높으면 2~5분, 낮으면 15~25분 설정
- 이전 세션 종료되지 않으면 새 세션 생성 X, 세션 관리 정책 수립
- 패스워드 변경시 활성화된 세션 삭제후 재할당
- 최소 128비트 길이, 안전한 난수 알고리즘, URL Rewrite 기능 X
- 로그인 전 세션 ID 삭제하고 재할당, 주기적 재할당
'정보처리기사' 카테고리의 다른 글
| 정보처리기사 필기(소프트웨어 개발 보안 구축) 보안 기능 (0) | 2022.03.03 |
|---|---|
| 정보처리기사 필기(소프트웨어 개발 보안 구축) 입력 데이터 검증 및 표현 (0) | 2022.03.03 |
| 정보처리기사 필기(소프트웨어 개발 보안 구축) Secure SDLC (0) | 2022.03.02 |
| 정보처리기사 필기(IT프로젝트 정보시스템 구축관리) 데이터 표준화 (0) | 2022.03.02 |
| 정보처리기사 필기(IT프로젝트 정보시스템 구축관리) 교착상태 (0) | 2022.03.02 |
댓글