그 아웃 시에는 Session ID 값을 폐기한다. 장시간 접속이 필요한 어플리케이션의 경우에는 일정 주기마다 Session ID값을 자동으로 재생성하여 세션을 유지하도록 한다.
4.무작위 추측 대입(Brute-force Guessing)에 대비하여 일정 회수 이상의 인증 실패 시에는 사용자 잠금 기능을 구현한다.
5.로그인 이후에도 중요한 서비스 이용 시에는 사용자 인증을 통하여 인가된 사용자만이 해당 서비스를 이용할 수 있도록 통제한다.
6.Cookie 내용 안의 Session ID와 기타 변수값 자체를 암호화한다.
7.웹 서비스 자체의 중요성에 따라 Cookie가 전달되는 방식을 SSL로 구현함으로써 스니핑 공격에 대응할 수도 있다.
8.웹 서비스 상에 공격자가 HTML 공격 코드 삽입이 가능한 페이지가 있는지 점검한다. 직접적인 공격 코드 삽입을 차단할 수 있도록 특수 문자 및 스크립트 코드를 필터링하여야 한다. http://lanian.tistory.com/entry/HTTP-Session-Hijacking 발췌
A3 - Cross-Site Scripting (XSS) (크로스 사이트 스크립팅)
으로 사전적인 정의는 게시판, 웹 메일 등에 삽입된 악의적인 스크립트에 의해 페이지가 깨지거나 다른 사용자의 사용을 방해하거나 쿠키 및 기타 개인 정보를 특정 사이트로 전송시키는 공격이다 http://word.tta.or.kr/dictionary/dictionaryView.do 한국정보통신협회, 정보통신용어사전
전체적인 공격을 보면 아래 그림을 보면 아래와 같다
간단한 구문으로 스크립트를 넣어보면
위 그림과 같이 스크립트를 확인할 수 있다
해당 XSS 공격을 방어하려면
해당 구문을 추가한다. "