사례 : XSS 취약점이 보고된 사이트에서 취약점을 개선하고나서, 추가 취약점 가능성을 대비한 세션 쿠키 접근 제한 사례입니다.
목표 : XSS 공격 성공시에도 Javascript 에서 세션 쿠키에 접근할 수 없도록 하여, 피해를 최소화 합니다.
태그 보관물: security
비밀번호 해시 고도화 사례 (bcrypt)
사례 : PHP 5.5 이전 버전에서 운영중인 사이트에서 비밀번호 해시를 bcrypt 로 교체한 경험을 정리했습니다.
목표 : 최악의 경우 서버내 해시된 비밀번호 데이터가 유출되더라도, bcrypt 알고리즘을 적용하여 실제 비밀번호를 유추하기 어렵게 만듭니다.