앵하니의 더 나은 보안
Session storage JWT token 탈취 시도 본문
진단 웹 사이트 중에, CORS origin이 *로 설정 돼 있어서 XMLHttpRequest 객체로 토큰 값을 가져올 순 없는지 확인했음
결론은 실패했는데, JWT 값이 웹의 세션 스토리지에 저장되기 때문이라고 함
쿠키로 저장되면 탈취할 수 있는데
세션 스토리지에 저장되는거 보니까 안되겠더라
혹시 세션/로컬 스토리지에 JWT 값이 저장되는 경우에도 CSRF가 가능하다면 도움 부탁드립니당
'보안 기술 > WEB' 카테고리의 다른 글
| HTTPS(SSL/TLS) 세션 성립 과정 (0) | 2023.10.08 |
|---|---|
| SSRF (0) | 2023.10.01 |
| JWT 검증 우회 +α (0) | 2023.06.09 |
| CSRF 취약점과 대응방안 (0) | 2022.08.22 |
| SSL strip과 HSTS (0) | 2022.08.12 |
'보안 기술/WEB' Related Articles
more
Comments