728x90
[JAVA] 세션 session 유효시간 설정 세션 객체는 클라이언트가 가장 최근에 접근한 시간값을 갖고 있고, 사용될 때마다 최근 접근 시간은 갱신된다. 세션 유효 시간은 가장 최근에 접근한 시간부터 최대 몇 시간까지 세션을 살려둘지 지정한 시간이다 세션은 마지막 접근 후 일정 시간 내에 다시 접근 하지 않으면 자동으로 세션을 종료한다. 만약 세션을 제거해주지 않으면 컨테이너에 세션이 생성만 되어 메모리 부족이 되거나, 메모리 누수로 이어져 서버가 다운될 수 있다. 세션 유효시간 설정 방법 1. WEB-INF\web.xml 파일에 태그를 사용 50 전체 세션 타임아웃을 설정할 때 사용 값의 단위: 분 따라서 위의 코드에서 세션 유효시간은 50분 2. setMaxInactiveInterval() 메서드를..
6. SSI 인젝션 점검내용 : 웹페이지 내 SSI 인젝션 공격 가능성 점검 대상 : 웹 애플리케이션 소스코드, 웹 서버, 웹 방화벽 조치방법 : 사용자 입력 값에 대한 검증 로직 추가 구현 참고 SSI(Server-Side Includes) : CGI 프로그램을 작성하거나 혹은 서버사이드 스크립트를 사용하는 언어로, 웹 서버가 사용자에게 페이지를 제공하기 전에 구문을 해석하도록 지시하는 역할을 함 SSI(Server-Side Includes) 인젝션 : HTML 문서 내 입력받은 변수 값을 서버 측에서 처리할 때 부적절한 명령문이 포함 및 실행되어 서버의 데이터가 유출되는 취약점 점검방법 사용자가 입력 가능한 파라미터 값에 를 삽입하여 전송 후 반환되는 페이지에 사이트의 홈 디렉터리가 표시되는지 확인 ..
4. 운영체제 명령 실행 점검내용 : 웹 사이트 내 운영체제 명령 실행 취약점 존재 여부 점검 대상 : 웹 애플리케이션 소스코드, 웹 방화벽 조치방법 : 취약한 버전의 웹 서버 및 웹 애플리케이션 서버는 최신 버전으로 업데이트를 적용해야 하며, 애플리케이션은 운영체제로부터 명령어를 직접적으로 호출하지 않도록 구현하는 게 좋지만, 부득이하게 사용해야 할 경우 소스 코드나 웹 방화벽에서 특수문자, 특수 구문에 대한 검증을 할 수 있도록 조치해야 함 참고 CVE/NVD - 공개적으로 알려진 취약점 검색 가능 http://cve.mitre.org/cve/search_cve_list.html https://nvd.nist.gov/vuln/search 점검방법 에러 페이지 또는 HTTP 응답 헤더에 노출되는 웹 서..
1. 버퍼 오버플로우 점검내용: 사용자가 입력한 파라미터 값의 문자열 길이 제한 확인 대상: 웹 애플리케이션 소스코드 조치방법: 파라미터 값을 외부에서 입력받아 사용하는 경우 입력 값 범위를 제한하며, 허용 범위를 벗어나는 경우 에러 페이지가 반환되지 않도록 조치 점검 사항 input에 해당하는 곳에 maxlength 지정 여부 정수 입력일 시 정수 허용 범위에 포함되는 값인지 여부 2. 포맷 스트링 점검내용 : 웹 애플리케이션에 포맷 스트링 취약점 존재 여부 점검 대상 : 웹 애플리케이션 소스코드, 웹 기반 C/S 프로그램 조치방법 : 웹 서버 프로그램을 최신 버전으로 업데이트하고 포맷 스트링 버그를 발생시키는 문자열에 대한 검증 로직 구현 참고 포맷 스트링 버그(format string bug): p..