[소스코드] Cookie Security: Overly Broad Path 조치방법

□ 개요

최상단 도메인을 기준으로 만들어지는 쿠키가 하위 도메인의 로그인까지 접근할 수 있는 취약점으로 루트로 설정되어있으면 취약점으로 잡는다. 하위 디렉토리와 같은 형식으로 쿠키 경로를 별도로 지정해준다

 

□ 해결방법

최상단("/")이 아닌 쿠키의 setPath 함수로 하위 경로 지정해준다.

 Cookie cookie = new Cookie("sessionID", sessionID);
 cookie.setPath("/MyForum");

 

□ 참고

해당 취약점은 insecure.example.com를 찾아보는 secure.example.com에 인증된 모든 사용자는 secure.example.com에서 세션쿠키를 노출할 위험이 있다.