불충분한 세션 만료(SC)
- 세션의 만료 기간을 정하지 않거나, 만료일자를 너무 길게 설정하여 공격자가 만료되지 않은 세션 활용이 가능하게 되는 취약점이다.
판단기준
양호 : 세션 유지 기간이 적절하게 지정되어있는 경우
취약 : 세션 유지기간이 적절하지 않고 길거나, 지정되어 있지 않고 재사용 가능
불충분한 세션 만료 대응방안
- 세션 유지 시간 적절히 설정
- 종료 로그아웃 설정
'web' 카테고리의 다른 글
| 자동화공격(AU) (0) | 2021.10.01 |
|---|---|
| 세션 고정 (SF) (0) | 2021.09.30 |
| 불충분한인가(IN) (0) | 2021.09.29 |
| 세션예측(SE) (0) | 2021.09.29 |
| 취약한 패스워드 복구(PR) (0) | 2021.09.28 |