인프런 커뮤니티 질문&답변

꾸준히하면언젠간님의 프로필 이미지
꾸준히하면언젠간

작성한 질문수

스프링 MVC 2편 - 백엔드 웹 개발 활용 기술

세션 정보와 타임아웃 설정

세션 관련 보안 문제 질문

해결된 질문

작성

·

476

2

초보적인 질문일 수 있지만 궁금한 부분이 있어 문의 드립니다.
 
강의 내용 중 " 세션과 관련된 쿠키( JSESSIONID)를 탈취 당했을 경우 오랜 시간이 지나도 해당 쿠키로 악의적인 요청을 할수있다. " 라는 내용이 있고, 세션 타임아웃 설정으로 방지하는 것으로 이해하였습니다.
 
그런데 탈취 당하여 악용하는 시점에, 타임아웃으로 설정한 30분이 지나지 않았다면 이 순간에는 악용이 가능하지 않나 생각이 들었습니다.
 
이 순간에는 막을 수 있는 방법이 따로 있는 것일까요 ?

답변 1

2

안녕하세요. 김우진님, 공식 서포터즈 David입니다.

이미 탈취당했다면 만료되기를 기다릴 수 밖엔 없습니다.

탈취를 방지하기 위해 httpOnly, secure cookie를 적용할 수도 있습니다.

감사합니다.

안녕하세요.

답변 감사합니다

꾸준히하면언젠간님의 프로필 이미지
꾸준히하면언젠간

작성한 질문수

질문하기