IT/Server 썸네일형 리스트형 [JBoss] 세션 쿠키에서 Httponly 속성 누락 조치 완료 세션 쿠키에서 Httponly 속성이 누락되었을 경우 고객 세션 및 쿠키를 빼내거나 조작하는 것이 가능하여해커가 사용자 레코드를 보거나 변경할 수 있으며 해당 사용자처럼 트랜잭션을 수행할 수 있다. Httponly 속성이 적용되었는지 확인 방법은 해당 사이트에 들어가서 개발자 도구에서 document.cookie 실행 시 값이 나오지 않으면 된다. Httponly 속성 걸기: web.xml 에 태그 앞에 해당 소스 삽입truefalseCOOKIE 각 속성에 대한 설명은 아래를 참고하기 바란다. Tracking Mode세션을 전달하는 방법(세션 트래킹)을 설정한다. 다음은 세션 트래킹을 설정하는 3가지 방법으로 중복 설정이 가능하고 설정하지 않으면 쿠키에 의한 트래킹만을 사용하도록 설정된다.설정값설명Coo.. 더보기 [Jboss7.1] 개인정보 및 중요정보 노출(서버 언어 정보 노출) 조치 방안 제이보스에서 개인정보 및 중요정보 노출(서버 언어 정보 노출) 조치 방안입니다. 결국, 아래와 같이 리스판스 헤더 중 X-power-By에 JSP 정보가 노출되는 것이 문제임.제이보스의 경우 제대로 컴파일이 안되어 고생한 적이 많은데, 이번 것 또한 JSP 구성에 버그가 존재했다.아래 내용을 참고따라서 조치 프로세스는 1. standalone> configuration> standalone.xml 문서에 Configuration 태그 추가 // 여기에 태그 추가 2. standalone> configuration> standalone.xml 문서에 property 태그 추가 // 여기에 태그 추가 참고사이트: https://docs.jboss.org/author/display/AS72/Hardening+.. 더보기 [제이보스_Jboss]웹 취약점_부적절한 에러 처리 초지 방안 제이보스(Jboss)에서 웹 어플리케이션에 서버 측 에러가 발생 시 설정 미흡으로 인해서 외부에 서버 정보가 노출되어 서버침부터 활용 될 가능성을 막는 방법. Burp Suite를 사용하여 아래와 같이 에러 코드를 확인하였다.웹 어플리케이션들은 상세한 에러 메시지나 디버그 관련 에러 메시지들을 통해서 내부 상태에 대한 정보를 종종 유출하는데, 이러한 정보는 더욱 강력한 공격들을 준비하거나 심지어 자동화되기 위한 수단이 된다. 그러므로, 기본 에러 처리기를 우선 시 하여 항상 "200" (ok) 에러 화면을 반환하게 함으로써 자동화된 스캐닝 도구가 심각한 에러의 발생 여부를 결정하는 능력을 감소시켜야 한다.이것은 " 애매함을 통한 보안”으로 특별한 계층의 방어를 제공할 수 있다. 해결방법으로는 D:\jbo.. 더보기 이전 1 다음
