훌쩍훌쩍 자바 유지보수하기
안녕하세요 오늘도 나름의 발전을 위해 일하는 무늬만 프론트 실상은 잡부입니다.
취약점 점검이 와서 대응하고 있는데 파일이 jsp가 아닌 ftl이네요 누구냐넌..
보통 취약점 점검이라는게 프론트를 무시하고 다이렉트로 백엔드에 날렸을때 발생할 수 있는 사항들이 주라서 대충 보고 도망
분명 loginSession이라는게 있는데 정작 httpSession이 임포트 되어있지 않은 이상한 상황. 다른 방식으로 뭔가뭔가 해뒀겠지하고 찾아보는데 로그인이나 로그아웃 로직에 loginSession을 암호화해서 쿠키에 넣고 쿠키만으로 컨트롤하고 있는 상황으로 보임, 취약점 내역에도 로그아웃 전에 쿠키 값을 미리 갖고 있다가 로그아웃하고 쿠키를 임의로 때려박으니 로그인이 되는 상황이 발생.. 옛날 사이트라 그런가? 누가 개발했는지도 모르는 상황..
여튼
로그아웃 전에 loginSession 처리를 따로 하지 않는 것으로 보아 세션의 가면을 쓴 쿠키에 쓰기 위한 단순 객체라고 판단, httpSession 구글링 해서 쿠키나 세션에 타임스탬프를 추가해서 유니크한 값을 갖게하고 쿠키와 세션을 비교해서 변조처리를 막아봤읍니다.
프론트 할때는 jwt 로만 했었어서 세션은 또 새로웠는데요. loginSession을 다른 방식으로 세션 구현을 했는지 찾아보던 도중 어디선가 들어본 redis라는 단어가.. 근데 redis도 db라고 들었는데 세션과는 뭔상관일까.. 또 열심히 찾아봐야겠습니다.
서울 지하철 파업이라곤 하는데 생각보다 집에는 잘 기어가는 중이네요 이번주도 고생하셨습니다