Secure 2

[웹 보안취약점] HttpOnly 설정 방법 (Tomcat, WEBAPP, JAVA, PHP, IIS 10)

⊙ Tomcat - tomcat/conf/context.xml 톰캣 6 이상부터 지원한다! 5.5.28 부터도 가능할지도.. (근데 업그레이드하면 자동으로 httponly 적용이 됐던 것 같은..) 경로는..보통 홈페이지 전체에 다 거니까 path="/" 로 했당 path 부분 제외해도 됨! 그럼 전체에 되는거겠지 ⊙ WEBAPP - WEB-INF/web.xml true 이것도 톰캣 6 (or 5.5.28) 이상부터 되려나? ⊙ Java Cookie cookie = getMyCookie("myCookieName"); cookie.setHttpOnly(true); 쿠키 설정하는 부분에서 2번째 줄 처럼 설정해주면 된다. 근데 이것두 servlet 3.0 부터 지원한다ㅋㅋㅋㅋ.. 내 경우엔 2.4 여서ㅋㅋㅋ..

[웹 보안취약점] HttpOnly 확인 방법

cookie 에 HttpOnly 속성이 설정되어 있지 않으면 스크립트 언어를 이용해 쿠키 정보를 볼 수 있으므로 XSS 공격이 가능하다. 현재 적용되어있는지 확인하는 방법은 1) 개발자도구(F12) > Console > "document.cookie" HttpOnly 속성이 설정되어 있지 않으면 공격자가 "document.cookie" 를 삽입해서 쿠키정보를 사용할 수 있다. 이때 쿠키정보가 나오지 않아야 공격을 방지할 수 있겠지요~ JSSESSIONID, PHPSESSIONID, ASP.NET_SESSIONID 등등 사용자의 세션/쿠키 값이 출력되지 않아야한다. 위처럼 노출되면 HttpOnly 가 미적용된 것! 적용된 경우엔 이런식으로 아무것도 나오지 않거나, 팝업 같은 쿠키의 값만 나와야한다. 팝업같..