[Spring Boot] : Cookie 보안 문제와 대처 방안

Cookie 보안 문제

---

쿠키 값은 바꿔치기가 가능하기 때문에 그냥 개발하면 사용자가 다 털려 버리게 된다.

 

즉, 쿠키의 값을 임의로 변경할 수 있다.

 

쿠키의 값을 임의로 변경하게 되면 다른 사용자도 유추해 낼 수 있고 쿠키에 관한 정보도 훔쳐갈 수 있게 된다. 만약 쿠키에 중요한 카드 정보가 등록되어 있다면 모두 다 털려버리는 것이다.

 

그리고 쿠키는 해커가 한번 훔쳐가면 평생 사용할 수 있다고 한다. 그것으로 악의적인 요청을 지속적으로 시도할 수 있다.

 

대안으로는 쿠키에 중요한 값을 노출하지 않고 랜덤 값을 노출한다. 그리고 서버에서 토큰과 사용자 id를 매핑해서 인식하도록 하고 서버에서 토큰을 관리하면 된다.

 

또, 토큰을 털어가도 시간이 지나면 사용할 수 없도록 토큰의 만료 시간을 짧게(예시는 30분으로 되어 있다.) 설정해 줘야 하고 해킹이 의심되면 서버에서 해당 토큰을 강제로 제거한다.

 

---

스프링 MVC 2편 - 백엔드 웹 개발 활용 기술을 참고하여 공부하였습니다.