GET 요청 방법의 민감한 쿼리 문자열 사용 (세션 ID)

설명

요청 URL에서 세션 ID와 쿠키 값이 확인되었습니다.

세션 ID는 GET 요청으로 전송되어서는 안 되며, 이는 프록시 시스템에 의해 캡처되거나 브라우저 기록에 저장되거나 로그 파일에 기록될 수 있습니다.

공격자가 세션 ID에 접근할 경우, 해당 계정에 접근할 수 있는 잠재적인 능력을 가지게 될 것입니다.

수정 방법

요청 헤더는 타사 시스템에 의해 잘 기록되거나 캡처되지 않으므로, 세션 ID 값은 쿠키(내부에서 Set-Cookie 응답 헤더를 통해 할당)로만 전송되고 요청 URL에서는 절대 전송되지 않도록 하세요.

세부사항

ID Aggregated CWE Type Risk
598.1 true 598 Passive Medium

링크