불충분한 세션 만료(SC)

불충분한 세션 만료(SC)

 

- 세션의 만료 기간을 정하지 않거나, 만료일자를 너무 길게 설정하여 공격자가 만료되지 않은 세션 활용이 가능하게 되는 취약점이다.

 

판단기준

 

양호 : 세션 유지 기간이 적절하게 지정되어있는 경우

취약 : 세션 유지기간이 적절하지 않고 길거나, 지정되어 있지 않고 재사용 가능

 

불충분한 세션 만료 대응방안

 

- 세션 유지 시간 적절히 설정

-  종료 로그아웃 설정