• Home
  • 회사소개
    • 회사개요
    • 인사말
    • 회사연혁
    • 고객사 레퍼런스
    • 협력사
    • 오시는길
  • 사업소개
    • 시큐어코딩
    • 웹방화벽
    • 교육
    • 컨설팅
  • 제품소개
    • CODE-RAY XG
    • WEBS-RAY V2.5
    • SECUI MF2
    • Secuguard
    • SolidStep
  • 보안소식
    • 보안뉴스
    • 시큐어코딩
    • 모의해킹
    • 취약점 진단
  • 공지사항
    • 공지사항
    • 납품 및 컨설팅 사례
    • 유지보수 사업 현황
    • 채용공고
    • 자료실
  • Home
  • 회사소개
    • 회사개요
    • 인사말
    • 회사연혁
    • 고객사 레퍼런스
    • 협력사
    • 오시는길
  • 사업소개
    • 시큐어코딩
    • 웹방화벽
    • 교육
    • 컨설팅
  • 제품소개
    • CODE-RAY XG
    • WEBS-RAY V2.5
    • SECUI MF2
    • Secuguard
    • SolidStep
  • 보안소식
    • 보안뉴스
    • 시큐어코딩
    • 모의해킹
    • 취약점 진단
  • 공지사항
    • 공지사항
    • 납품 및 컨설팅 사례
    • 유지보수 사업 현황
    • 채용공고
    • 자료실

시큐어코딩

  • home
  • 보안소식
  • 시큐어코딩

27. [보안 기능] 사용자의 하드디스크에 저장되는 쿠키를 통한 정보노출

2019.06.04 15:21

관리자 조회 수:666

안녕하세요, 지에스인포입니다!

​

어느덧 2019년도 6월에 접어들었습니다. 날씨도 따뜻해지고 하늘도 맑아져서 야외활동을 하기 제격인 날씨가 되었는데요. 이런 날에 주변의 소중한 분들과 함께 피크닉이라도 가 보시는 건 어떨까요? ^^

​

이렇게 좋은 날씨 속에서 여러분들의 행복한 시간을 지켜드리기 위해 저희 정보보호 전문기업 지에스인포는 오늘도 새롭게 떠오르는 보안이슈에 늘 귀 기울이며 최선의 정보보호를 해 드리기 위해 노력하고 있답니다!

​

오늘은 행안부 SW 개발보안가이드 47개 항목 중 '사용자 하드디스크에 저장되는 쿠키를 통한 정보노출'에 대해 알아보겠습니다.

​

분석 및 설계 단계 보안요구항목과 구현 단계 47개 보안약점 기준

- 소프트웨어 개발보안 가이드 (행정안전부 / 한국인터넷진흥원)

# 사용자 하드디스크에 저장되는 쿠키를 통한 정보노출 : 쿠키(세션 ID, 사용자 권한정보 등 중요정보)를 사용자 하드디스크에 저장함으로써 개인정보 등 기밀정보가 노출 될 수 있는 보안약점

​

대부분의 웹 응용프로그램에서 쿠키는 메모리에 상주하며, 브라우저의 실행이 종료되면 사라집니다. 그러나 프로그래머가 설정을 통해 쿠키를 디스크에 저장 할 수 있는데요. 이 경우 다음 브라우저 세션이 시작되었을 때 쿠키가 메모리에 로드됩니다. 이렇게 되면 개인정보, 인증정보 등의 개인정보가 영속적인 쿠키 (Persistent Cookie)에 저장된다면, 공격자는 쿠키에 접근 할 수 있는 보다 많은 기회를 가지게 되어 시스템이 취약해지는 약점이 발생합니다.

​

사용자 하드디스크에 저장되는 쿠키를 통한 정보 유출

- KISA_SW개발보안가이드

​

이러한 문제를 방지하기 위해서는, 쿠키의 만료시간은 해당 기능에 맞춰 최소로 설정하고 영속적인 쿠키에는 중요 정보가 포함되지 않도록 해야 하는데요, 아래 소스코드 예시와 함께 보실까요?

​

'사용자의 하드디스크에 저장되는 쿠키를 통한 정보노출' 항목의 위험한 예 (JAVA)

- 소프트웨어 개발보안 가이드 (행정안전부 / 한국인터넷진흥원)

위의 소스코드는 쿠키의 유효기간을 1년으로 설정하여 필요보다 지나치게 긴 기간동안 쿠키를 저장하고 있습니다. 이 경우 하드디스크에 공격자가 접근 할 수 있는 기회가 크게 늘어나게 되고, 쿠키값을 통한 정보노출의 위험 가능성이 있습니다.

​

'사용자의 하드디스크에 저장되는 쿠키를 통한 정보노출' 항목의 안전한 예 (JAVA)

- 소프트웨어 개발보안 가이드 (행정안전부 / 한국인터넷진흥원)

​

따라서 이처럼 쿠키의 유효기간을 하루로 짧게 설정해 주는 것이 좋답니다!

​

​

소스코드 예제를 C# 버전으로 하나 더 보실까요?

​

아래 소스코드는 사용자 입력값인 UserInput.Text로 전달받은 값을 통해 쿠키의 만료 시간을 지정하고 있습니다.

​

'사용자의 하드디스크에 저장되는 쿠키를 통한 정보노출' 항목의 위험한 예(C#)

- 소프트웨어 개발보안 가이드 (행정안전부 / 한국인터넷진흥원)

위와 같이 민감한 정보를 담은 쿠키를 사용할 경우, 아래와 같이 Cookie 객체의 Secure 속성을 활성화하는 것이 좋습니다.

​

'사용자의 하드디스크에 저장되는 쿠키를 통한 정보노출' 항목의 안전한 예(C#)

- 소프트웨어 개발보안 가이드 (행정안전부 / 한국인터넷진흥원)

​

오늘은 행정안전부 SW 개발보안가이드 중 27번째 항목인 '사용자 하드디스크에 저장되는 쿠키를 통한 정보노출'에 대해 알아보았습니다. 다음번에도 더욱 유익하고 알찬 보안소식과 함께 찾아뵙겠습니다! 감사합니다.

이 게시물을
  • Twitter
  • Me2day
  • Facebook
  • Delicious
목록

엮인글 0

http://gsinfo.kr/xe/SecureCoding_Board/1633/664/trackback

댓글 0

목록
번호 제목 글쓴이 날짜 조회 수
40 03. [입력 데이터 검증 및 표현] 크로스사이트스크립트 file 관리자 2018.03.07 9206
39 06. [입력 데이터 검증 및 표현] 신뢰되지 않은 URL 주소로 자동 접속 연결 file 관리자 2018.03.26 3394
38 02. [입력 데이터 검증 및 표현] 경로조작 및 자원삽입 file 관리자 2018.03.07 2316
37 05. [입력 데이터 검증 및 표현] 위험한 형식 파일 업로드 file 관리자 2018.03.07 2249
36 11. [입력 데이터 검증 및 표현] HTTP 응답분할 관리자 2018.05.10 2229
35 07. [입력 데이터 검증 및 표현] XQuery 삽입 file 관리자 2018.03.26 2124
34 10. [입력 데이터 검증 및 표현] 크로스사이트 요청 위조 (CSRF) 관리자 2018.05.10 1870
33 04. [입력 데이터 검증 및 표현] 운영체제 명령어 삽입 file 관리자 2018.03.07 1781
32 01. [입력 데이터 검증 및 표현] SQL 삽입 file 관리자 2018.03.07 1781
31 12. [입력 데이터 검증 및 표현] 정수형 오버플로우 관리자 2018.05.10 1647
30 09. [입력 데이터 검증 및 표현] LDAP 삽입 관리자 2018.05.10 1630
29 08. [입력 데이터 검증 및 표현] Xpath 삽입 관리자 2018.05.10 1386
28 15. [입력 데이터 검증 및 표현] 포맷 스트링 삽입 관리자 2019.04.30 1306
27 20. [보안 기능] 중요정보 평문 저장 관리자 2019.04.30 1144
26 21. [보안 기능] 중요정보 평문 전송 관리자 2019.04.30 1117
25 22. [보안 기능] 하드코드 된 비밀번호 관리자 2019.04.30 1113
24 19. [보안 기능] 취약한 암호화 알고리즘 사용 관리자 2019.04.30 974
23 25. [보안 기능] 하드코드 된 암호화 키 관리자 2019.05.28 945
22 34. [에러처리] 오류메시지를 통한 정보노출 관리자 2019.07.09 750
21 29. [보안 기능] 솔트 없이 일방향 해시함수 사용 관리자 2019.06.17 725
첫 페이지 1 2 끝 페이지
쓰기
태그
보안소식
  • 보안뉴스
  • 시큐어코딩
  • 모의해킹
  • 취약점 진단
nextep banner

어플리케이션 소스코드 취약점 점검도구, CODE-RAY XG를 통해 개발 단계에서부터 소스코드의 잠재적인 취약점이 없는 건강한 소프트웨어를 구현할 수 있습니다.
웹 / 소스코드 / 서버 인프라 등 다양한 시스템의 취약점을 사전에 점검하여 여러가지 상황에서의 보안사고를 예방합니다.
모바일 시스템에 대하여 해킹에 취약한 근본적인 문제를 점검하고, 다양한 컴플라이언스를 기반으로 한 최적의 가이드를 제공합니다.
  • Home
  • 회사소개
  • 사업소개
  • 제품소개
  • 보안소식
  • 공지사항
본사주소 : 서울특별시 구로구 디지털로33길 48, 709호(대륭포스트타워 7차)   Tel : 02-861-6373

대표이사 : 고공석 ㅣ  사업자번호 : 887-86-00041 ㅣ  COPYRIGHT ⓒ GSinfo ALL RIGHT RESERVED.

로그인

로그인폼

로그인 유지

로그인
  • 회원가입
  • ID/PW 찾기