티스토리 뷰
반응형
인증받은 유저에게 서비스를 제공할 경우, 해당 세션은 탈취나 재사용 등을 통해 인증도용으로 사용되지 않도록 보안로직을 적용해야 합니다. 여기서 로그아웃 기능은 명시적으로 기능을 제공하여 유저가 더 이상 서비스를 이용하지 않았을 때, 세션이 바로 만료될 수 있도록 해야 합니다.
WebGoat는 SpringSecurity를 사용하고 있고, 현재 로그아웃을 별도 로직을 구현하지 않고 로그인과 같이 또한 Spring Security에서 제공하는 기능을 사용하고 있습니다.
로그아웃 처리 과정에서 중요하게 보아야 하는 부분은 세션을 바로 만료처리하는지 여부입니다. 로그아웃 시 세션을 만료처리 하지 않는다면, 이미 세션ID가 탈취되어 재사용될 경우, 해당 세션은 아직 살아있기 때문에 기존 유저의 세션 인증 도용이 가능합니다. 이러한 문제로 로그아웃 기능을 명시적으로 제공해야 하며, 로그아웃 처리 시 세션을 바로 만료처리 하는 것이 중요합니다.
반응형
'Web Analytics > WebGoat' 카테고리의 다른 글
| WebGoat 분석 - Authorization (0) | 2024.02.14 |
|---|---|
| WebGoat 분석 - Authentication (0) | 2024.02.14 |
| WebGoat 분석 - 회원가입 (0) | 2024.01.28 |
| WebGoat 분석 - 로그인 (0) | 2024.01.28 |
| WebGoat 코드리뷰 시작 (0) | 2024.01.28 |
댓글
반응형
최근에 올라온 글
- Total
- Today
- Yesterday