- 정보공유
[그누보드팁] 쿠키 Secure 속성 옵션 추가.
웹 서버에 Cookie Secure 설정이 되지 않아 보안 메커니즘이 작동되지 않을 수 있는 취약점
Secure 속성 옵션은 서버가 SSL통신을 할 때만 쿠키가 전송되도록 설정하며,
임의로 다른 사용자에 의해 웹 브라우저에 출력되지 않도록 설정하는 메커니즘 입니다.
취약점 악용에 성공한 공격자는 암호화 되어야 할 주요정보를 암호화 메커니즘을 걸치지 않은
상태로 획득하여 웹 서버의 중요 정보를 획득할 수 있습니다.
파일위치 : /lib/common.lib.php
function set_cookie($cookie_name, $value, $expire)
{
global $g5;
setcookie(md5($cookie_name), base64_encode($value), G5_SERVER_TIME + $expire, '/', G5_COOKIE_DOMAIN, true);
}
파일위치 : /common.php
session_set_cookie_params(0, '/');
를
session_set_cookie_params(0, '/', true);
로 수정.
또는
ini_set("session.cookie_domain", G5_COOKIE_DOMAIN); 하단에
ini_set('session.cookie_secure', '1'); 추가