아이디/비밀번호 인증 후 호출하는 redirect 구문을 재사용하면 로그인이 되는데 어떻게 막아야 할까요?
- 작성자 :
- 이*기
- 작성일 :
- 2023-04-26 14:36:03
- 조회수 :
- 650
- 구분 :
- 기타
- 진행상태 :
- 완료
Q
안녕하세요.
아이디/비밀번호 인증 처리 후 호출하는 redirect 구문을 재사용하면 로그인이 계속 되는데 심각한 보얀 취약점인 것 같습니다.
보통 이를 어떻게 막는지 궁금합니다.
ex) redirect:/j_spring_security_check?j_username=" + userName + "&j_password=" + passWord;
=> 개발자 도구로 해당 값을 확인해 url 에 직접 넣으면 계속 로그인 가능
아이디/비밀번호 인증 처리 후 호출하는 redirect 구문을 재사용하면 로그인이 계속 되는데 심각한 보얀 취약점인 것 같습니다.
보통 이를 어떻게 막는지 궁금합니다.
ex) redirect:/j_spring_security_check?j_username=" + userName + "&j_password=" + passWord;
=> 개발자 도구로 해당 값을 확인해 url 에 직접 넣으면 계속 로그인 가능
환경정보
-
- OS 정보 :
- 표준프레임워크 버전 :
- JDK(JRE) 정보 :
- WAS 정보 :
- DB 정보 :
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크센터입니다.
표준프레임워크 3.0 버전부터는 GET 방식으로
j_spring_security_check를 호출할 수 없게 변경되었습니다.
관련된 내용은 아래 위키가이드의
[9. GET 방식 인증 불가 처리] 부분을 참고하시기 바랍니다.
https://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rte3:fdl:server_security:upgrade
감사합니다.
표준프레임워크센터입니다.
표준프레임워크 3.0 버전부터는 GET 방식으로
j_spring_security_check를 호출할 수 없게 변경되었습니다.
관련된 내용은 아래 위키가이드의
[9. GET 방식 인증 불가 처리] 부분을 참고하시기 바랍니다.
https://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rte3:fdl:server_security:upgrade
감사합니다.