- 정보공유
[그누보드팁] 쿠키 하이젝킹 방지(cookie hijacking) HttpOnly, 쿠키 HttpOnly 속성 누락.
쿠키 하이젝킹 방지(cookie hijacking) HttpOnly.
웹 서버에 Cookie HttpOnly 설정이 되지 않아 보안 메커니즘이 작동되지 않을 수 있는 취약점.
HttpOnly 속성 옵션은 서버 요청이 있을 때에만 쿠키가 전송되도록 설정하며, 임의로 다른 사용자에 의해 웹 브라우저에 출력되지 않도록 설정하는 메커니즘 입니다.
약점 악용에 성공한 공격자는 암호화 되어야 할 주요정보를 암호화 메커니즘을 걸치지 않은 상태로 획득하여 웹 서버의 중요 정보를 획득할 수 있습니다.
파일위치 : /lib/common.lib.php
function set_cookie($cookie_name, $value, $expire)
{
global $g5;
setcookie(md5($cookie_name), base64_encode($value), G5_SERVER_TIME + $expire, '/', G5_COOKIE_DOMAIN, null, true);
}
파일위치 : /common.php
session_set_cookie_params(0, '/');
를
session_set_cookie_params(0, '/', false, true);
로 수정.
또는
ini_set("session.cookie_domain", G5_COOKIE_DOMAIN); 하단에
ini_set("session.cookie_httponly", 1); 추가