쿠키(Cookie)
- 사용자의 웹 브라우저에 저장된 텍스트 조각
- 웹 서버에서 생성하여 브라우저로 전송되는 임의의 데이터
- 브라우저의 ‘cookie jar’에 저장
- name, domain, path에 의해 식별
문제점
- Cookie는 Stateless인 HTTP 프로토콜에서 State를 유지하기 위해 만들어졌으므로 보안을 고려하지 않음
- 공격자 및 클라이언트는 쿠키를 읽고 조작할 수 있음 ➡️ 중요한 정보는 쿠키에 저장되면 안 됨
- 서버는 ‘쿠키 이름=값’을 제외한 정보는 볼 수 없음
대응
- 설정/쓰기 차단
- 쿠키 지우기
- 모든 페이지에 SSL 설정
- 서버에서 자기만 알고 있는 비밀 key 값 설정 ➡️ value와 tag를 붙여 쿠키 값으로 사용 ➡️ key-value를 concat해서 해시 함수를 통해 tag를 생성 (무결성 체크)
※ 국민대학교 소프트웨어학부 윤명근 교수님의 정보보호와시스템보안 교과목을 공부하며 정리한 내용입니다.
728x90
반응형
'정보 보안' 카테고리의 다른 글
| 웹 보안 - XSS(Cross-Site Scripting) (1) | 2024.12.11 |
|---|---|
| 웹 보안 - 세션 관리(Session management) (0) | 2024.12.11 |
| 웹 보안 - Web Shell (0) | 2024.12.11 |
| 네트워크 보안 - 침입 방지 시스템(Intrusion Prevention System) (0) | 2024.12.11 |
| 네트워크 보안 - DDoS (0) | 2024.12.11 |