HTTP 세션 식별자 교대
glide.ui.rotate_sessions 이 속성을 사용하여 HTTP 세션 식별자 순환을 활성화하여 보안 취약성을 줄입니다.
인증 후에도 인증되지 않은 사용자의 세션 ID가 변경되지 않으면 웹 애플리케이션이 세션 고정 공격에 취약해집니다. 악의적인 사용자가 인증되지 않은 세션을 시작하고 연결된 세션 ID를 피해자에게 제공할 수 있습니다. 피해자가 인증되면 악의적인 사용자는 이제 인증된 세션을 공유합니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.ui.rotate_sessions |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 범주 | 세션 관리 |
| 목적 | 보다 안전한 세션 인증을 달성하기 위해. |
| 권장 값 | 예 |
| 기본값 | 예 |
| 보안 위험 등급 | 8.8 |
| 기능적 영향 | 이 정정하면 사용자가 인증되지 않은 페이지에서 인증된 페이지로 이동할 때 SessionID를 수정합니다.
|
| 보안 위험 | (보통) SessionID는 브라우저에서 세션 상태를 유지 관리하여 인스턴스 사용자를 처리하고 인증하는 데 사용됩니다. 따라서 SessionID는 중요한 데이터로 간주되며 기본적으로 안전해야 합니다. 세션 교대는 사용자가 인증되지 않은 페이지에서 페이지를 인증하기 위해 탐색할 때마다 sessionID의 변경을 적용하는 보안 제어입니다. |
| 참조 |
시스템 속성 추가 또는 생성에 대한 자세한 내용은 문서를 참조하십시오 Add a system property.