쿠키 하이젝킹 방지(cookie hijacking) HttpOnly.

웹 서버에 Cookie HttpOnly 설정이 되지 않아 보안 메커니즘이 작동되지 않을 수 있는 취약점.

HttpOnly 속성 옵션은 서버 요청이 있을 때에만 쿠키가 전송되도록 설정하며, 임의로 다른 사용자에 의해 웹 브라우저에 출력되지 않도록 설정하는 메커니즘 입니다.

약점 악용에 성공한 공격자는 암호화 되어야 할 주요정보를 암호화 메커니즘을 걸치지 않은 상태로 획득하여 웹 서버의 중요 정보를 획득할 수 있습니다.

파일위치 : /lib/common.lib.php

function set_cookie($cookie_name, $value, $expire)

{

    global $g5;

    setcookie(md5($cookie_name), base64_encode($value), G5_SERVER_TIME + $expire, '/', G5_COOKIE_DOMAIN, null, true);

}

파일위치 : /common.php 

session_set_cookie_params(0, '/');

를

session_set_cookie_params(0, '/', false, true);

로 수정.

또는

ini_set("session.cookie_domain", G5_COOKIE_DOMAIN); 하단에

ini_set("session.cookie_httponly", 1); 추가