세션 통제
1. 세션 통제
세션의 연결로 인해 발생하는 정보 관리(요구사항 분석, 설계 단계)
2. 세션 설계 시 고려 사항
- 모든 페이지에서 로그아웃이 가능하도록 UI(User Interface) 구성
- 로그아웃 요청 시 할당된 세션이 완전히 제거되도록 함
- 세션 타임아웃은 중요도가 높으면 2~5분, 낮으면 15~30분으로 설정
- 이전 세션이 종료되지 않으면 새 세션이 생성되지 못하도록 설계
- 패스워드 변경 시 활성화된 세션을 삭제한 후 재할당
3. 세션 ID의 관리 방법
- 안전한 서버에서 최소 128비트의 길이로 생성
- 예측이 불가능하도록 안전한 난수 알고리즘 적용
- 노출되지 않도록 URL Rewrite 기능을 사용하지 않는 방향으로 설계
- 로그인 시 로그인 전의 세션 ID를 삭제하고 재할당
- 장기간 접속하고 있는 세션 ID는 주기적으로 재할당되도록 설계
4. 크로스 사이트 스크립팅(XSS; Cross-Site Scripting)
- 해킹 기법: 웹페이지에 악성 스크립트를 삽입하여 방문자들의 정보를 탈취하거나, 비정상적인 기능 수행을 유발하는 보안 약점
→ HTML 태그의 사용을 제한하거나 스크립트에 삽입되지 않도록 ‘<’, ‘>’, ‘&’ 등의 문자를 다른 문자로 치환함으로써 방지
5. 부적절한 자원 해제
- 자원을 반환하는 코드를 누락하거나 프로그램 오류로 할당된 자원을 반환하지 못했을 때 발생하는 보안 약점
→ 오류로 인해 함수가 중간에 종료되었을 때, 예외처리에 관계없이 자원이 반환되도록 코딩함으로써 방지
[정보처리기사] 개정된 정보처리기사 필기 목차
정처기 필기 100문제 중 각 챕터 당 20문제로 구성됩니다. 출판사 시나공의 정보처리기사 교재와 이전 기출문제들을 참고로 하여 간단히 키워드로요약하여 작성하였습니다. 각 중요도에 따라서
potato-potahto.tistory.com
'Challenges > 정보처리기사' 카테고리의 다른 글
| [정보처리기사]5.정보시스템 구축 관리/시스템 보안 구축/서비스 공격 유형 (0) | 2022.07.13 |
|---|---|
| [정보처리기사]5.정보시스템 구축 관리/SW 개발 보안 구축/암호 알고리즘 (0) | 2022.07.13 |
| [정보처리기사]5.정보시스템 구축 관리/SW 개발 보안 구축/Secure SDLC (0) | 2022.07.13 |
| [정보처리기사]5.정보시스템 구축 관리/IT프로젝트 정보 시스템 구축 관리/데이터베이스 관련 신기술 (0) | 2022.07.12 |
| [정보처리기사]5.정보시스템 구축 관리/IT프로젝트 정보 시스템 구축 관리/하드웨어 관련 신기술 (0) | 2022.07.12 |