Session Mgmt. - Cookies (HTTPOnly) : low

쿠키의 HttpOnly 옵션에 대한 문제이다.

Cookies버튼을 누르면 내 쿠키를 볼 수 있다.

 

 

★HttpOnly

자바스크립트의 document.cookie를 이용해서 쿠키에 접속하는 것을 막는 옵션

쿠키를 훔쳐가는 행위를 막기 위한 방법이다. 

 

F12(개발자도구)-Storage에서 HttpOnly 옵션이 false로 설정되어 있는 것을 확인할 수 있었다.

 

그렇기 때문에 위에서 here을 누르면 alert창이 떠서 쿠키값을 확인할 수 있다.

 

이제 HttpOnly옵션을 true로 바꿨을 때 alert창에 쿠키값들이 안뜨는지 확인해보자

아래와 같이 바꿔주고

 

here을 누르면 아래와 같이 빈 alert창이 뜬다.

 

 

콘솔창에 입력해도 마찬가지로 쿠키정보가 뜨지 않는다.

 

마지막으로 다른 계정(test)으로 접속해서 다른 계정의 세션 ID를 Bee의 세션 ID로 변조할 수 있는지 확인해보자

EditThisCookie라는 툴을 이용했다. (쿠키값을 변조해주는 툴이다)

Bee의 세션ID를 넣어서 로그인이 되는지 확인해봤지만 로그아웃되어서 변조할 수 없었다.

---

참고한 사이트

opentutorials.org/course/3387/21744