2015. 4. 7. 15:21
[서버관련]
요즘은 DDOS공격같은 방법보다는 웹쉘이나 XSS삽입공격등으로 사이트를 위협하고 있습니다.
특히 XSS관련 공격은 가장 빈번한 방법으로
대부분의 사이트들의 인증은 쿠키(세션)를 통한 방식으로 하기때문에 "쿠키 하이제킹 방지" 코드만
넣어도 어느정도 방어가 됩니다.
거의 모든 브라우져에서 지원되므로, 아래와 같은 방식으로 코드를 넣으면 도움이 됩니다.
쿠키 사용예)
PHP 5.x 이상
SetCookie("auth_xxx",$user,0,"/",".makeshop.co.kr",false, true);
PHP 4.x
SetCookie("auth_xxx",$user,0,"/",".makeshop.co.kr; httponly");
PHP 5.x 이상
SetCookie("auth_xxx",$user,0,"/",".makeshop.co.kr",false, true);
PHP 4.x
SetCookie("auth_xxx",$user,0,"/",".makeshop.co.kr; httponly");
세션을 사용예) ( php5.2 이상)
php.ini 에서
session.cookie_httponly = true;
설정후 php 재가동
서버에서 보내는 쿠키 헤더값은 아래와 같네요.
HTTP/1.1 200 OK
Server: nginx
Date: Tue, 07 Apr 2015 05:06:07 GMT
Content-Type: text/html
Connection: keep-alive
Set-Cookie: test=123; path=/; domain=test.co.kr; httponly
브라우져를 재가동후 사이트접속(로그인)후
주소창에
javascript:document.cookie
입력하여 확인해보면, 설정한 쿠키(세션) 이 보이지 않은것을 확인할 수 있습니다. :)