2021.09.05 기록장

TIL 2021. 9. 4. 23:09

AnonymousAuthenticationFilter

우리가 spring security를 사용하기 전에 인증된 유저인지 확인하는 방법은 다음과 같다.

session에 user가 저장되어있는지 확인하고 null이 아니면 인증된 유저의 접근으로 간주했다.

이 필터도 흐름은 같지만 null이 아닌 Anonymous인증 객체를 저장한다.

이전에 remember me는 session에 security context가 null이고 cookie로 해당 토큰이 보내져 오면 동작을 하고,

이 경우는 remember me 쿠키 조차 없을 때 발생을 한다.

세션 고정 공격

공격자가 로그인되지 않은 자신의 세션 id를 공격 대상의 cookie에 삽입해 놓았을 때

공격 대상은 해당 세션 id로 로그인 시에 공격자도 로그인이 된 상태가 된다.

이를 막기 위해서 해당 세션에 최대 인원수라던지, 매번 새로운 세션(default는 이전 세션 설정 사용)을 만들도록 해야 한다.

이는 모두 spring security가 제공해주는 기능이기에 사용만 하면 된다.

공격 방법은 다음과 같다. 웹에 접근만 해도 jsession은 발급받을 수 있다.

.now() .now()