[버그 리포트] 사용자 로그인 쿠키 보안 이슈

[edit8080]

버그 리포트 Issue

설명

• 로그인 보안 문제

Steps to reproduce

1. loginInfo 쿠키를 생성한 후 임의 값을 설정한다.
2. 이후 새로고침하여 기능에 접근한다.

버그 발생 시 발생하는 작업 (BUG)

• loginInfo 쿠키를 임의로 생성한 뒤 새로고침을 하게 되면 접속이 되는 버그 발생
• 장기간(1일)동안 쿠키가 남아 공격자가 해당 쿠키를 악용할 수 있는 문제

버그 수정 후 의도되는 작업 (correct)

• loginInfo 쿠키를 임의로 생성해도 접속할 수 없음
• userToken을 무작위 값을 설정하여도 접속할 수 없음
• 쿠키 유효 기간을 짧게 설정한 후 사용자가 기능을 사용할 때마다 쿠키 유효시간을 연장하여 최대한 쿠키정보가 외부로 유출되는 것을 방지

연관된 로그 및 이미지 (optional)

담당자 할당 확인

(작업 예상) 담당자: @edit8080

• [x] 담당자 접수 확인

우선순위 확인

요청자의 예상 우선순위 : 상

• [x] 담당자의 우선순위 확인
• [x] PM의 최종 우선순위 확인

[edit8080]

142 에서 위에서 설명한 작업을 완료하였습니다.

아직 쿠키 자체의 보안 문제가 남아있다고 생각되어 추후 secure login 관련 자료를 조사하여 이 부분을 보완하고자 합니다.