'쿠키'에 해당되는 글 2건

  1. 2016.03.15 BIND DNS 신규 취약점 보안 업데이트
  2. 2009.11.24 HttpOnly를 이용한 쿠키 하이재킹 방지 (1)
2016.03.15 21:43

BIND DNS 신규 취약점 보안 업데이트

□ 개요
o DNS 서비스에 주로 이용되는 BIND DNS에 특수하게 조작된 특정 패킷을 보내면 장애가 발생하는 취약점이 발견됨[1][2][3]
 
□ 설명
o 특수하게 조작된 패킷을 control 채널로 전송할 경우, 서버의 서비스 거부를 유발할 수 있는 취약점(CVE-2016-1285)[1]
o DNAME 리소스 레코드를 파싱하는 과정에서 서비스 거부를 유발할 수 있는 취약점(CVE-2016-1286)[2]
o DNS 쿠키 지원이 활성화된 서버에서 쿠키 옵션을 처리하는 중 서비스 거부 상태가 될 수 있는 취약점(CVE-2016-2088)[3]
 
□ 영향 받는 소프트웨어
o BIND 9.9.0 이상 ~ 9.9.8-P3 이하
o BIND 9.10.0 이상 ~ 9.10.3-P3 이하
 
□ 해결 방안
o BIND 9.9.0 이상 ~ 9.9.8-P3 이하
- BIND 9 버전 9.9.8-P4로 업그레이드
o BIND 9.10.0 이상 ~ 9.10.3-P3 이하
- BIND 9 버전 9.10.3-P4로 업그레이드
 
□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
 
[참고사이트]
[1] https://kb.isc.org/article/AA-01352
[2] https://kb.isc.org/article/AA-01353
[3] https://kb.isc.org/article/AA-01351


Trackback 0 Comment 0
2009.11.24 20:37

HttpOnly를 이용한 쿠키 하이재킹 방지

쿠키의 httponly 옵션에 대해서

1. 언제 개발되었나?
   -2002년 MS IE6.0 SP1 에서 최초 지원

2. 어떤 동작을 하는가?
   -클라이언트 브라우저에서 쿠키가 생성될때 httponly 옵션이 있으면
    클라이언트 스크립트의 쿠키 요청에 대해서 브라우저는 응답을 하지 않습니다.
   -예를 들어 쿠키 생성시 httponly 옵션이 있다면 javascript 의 document.cookie 메소드를 통해
    쿠키정보를 브라우저로 부터 획득할 수 없습니다.

3. 왜 만들어 졌는가?
   -XSS 를 이용한 쿠키 하이재킹에 대응하기 위해 개발된 기술입니다.

4. 지원하는 브라우저
   -Microsoft Internet Explorer 6.0 SP1 이상
   -Mozilla Firefox  3.0.0.6+ 이상
   -Netscape Navigator 9.0b3 이상
   -Opera 9.50 이상
   -Google's Chrome
  
   -ASP, JSP 같은 웹 언어하고는 상관 없습니다.
    쿠키를 발생하는 Set-Cookie 에 httponly 라는 문자열만 있으면 되며
    클라이언트 측 브라우저가 해당 옵션을 지원하냐 못하냐의 문제입니다.
   -현재 대부분의 최신 브라우저에서 지원하고 있으며 지원하지 않는다고 해서

    에러는 발생하지 않고 단지 옵션이 무시됩니다.

5. MS 의 표준화 노력

   -ASP.NET 2.0 환경에서는 시스템 쿠키에서 httponly 는 디폴트로 생성이 됩니다.

   -MSDN 발췌

    "HttpOnly. This property specifies whether the cookie can be accessed by client script. In ASP.NET 2.0, this value is always set to true. Internet Explorer 6 Service Pack 1 supports this cookie attribute, which prevents client-side script from accessing the cookie from the document.cookie property."

http://msdn.microsoft.com/en-us/library/ms533046.aspx
http://blogs.msdn.com/ie8kr/archive/2009/03/17/ie8-5.aspx
http://www.owasp.org/index.php/HTTPOnly
http://msdn.microsoft.com/en-us/library/aa480476.aspx


출처 : http://blog.naver.com/kim119z


<script type="text/javascript">
function showMeTheCookie()
{
    alert(document.cookie);
}

function normalCookie()
{
    document.cookie="Name=Value";
    showMeTheCookie();
}

function httpOnlyCookie()
{
    document.cookie="Name=Value; httpOnly";
    showMeTheCookie();
}
</script>

<FORM>
    <INPUT TYPE="BUTTON" onClick="normalCookie();" Value="Display Normal Cookie">
    <INPUT TYPE="BUTTON" onClick="httpOnlyCookie();" Value="Display httpOnly Cookie">
</FORM>

소스 출처 : http://mkseo.pe.kr/blog


Trackback 0 Comment 1
  1. Favicon of https://blog.pages.kr 날으는물고기 2010.04.07 15:08 신고 address edit & del reply

    HTTP Cookies

    http://msdn.microsoft.com/ko-kr/library/Aa384321