CI 묻고 답하기

제목 Cookie Not Marked As Secure and Critical Form Served Over HTTP
글쓴이 영등포 작성시각 2015/12/08 19:46:48
댓글 : 3 추천 : 0 스크랩 : 0 조회수 : 17799   RSS
ci에서 
보안점검툴에서 2개가 걸렷는데 전혀 이해가안가는데 답변좀 부탁드립니다.
로그인과 로그아웃인데...
로그인에서 분명희 https로 넘기는데 http로 간다고하고...희한하네요..

Critical Form Served Over HTTP
Url http://www.site.co.kr/manager/
Form target action https://www.site.co.kr/manager/main/log_in
 
Vulnerability Details
Netsparker identified that a password field is served over HTTP.
{PRODUCT} detected that a critical form is served over HTTP.
 
Impact
If an attacker can carry out a man-in-the-middle attack, he/she may be able to intercept traffic by injecting JavaScript code into this page or changing action of the HTTP code to steal the user's password. Even though the target page is HTTPS, this does not protect the system against man-in-the-middle attacks.

구글번역 
취약점 세부 정보
Netsparker 는 암호 필드가 HTTP를 통해 제공 되는 것을 확인했다.
{ 제품 은 } 중요한 형태 는 HTTP를 통해 제공되는 것으로 나타났습니다.
충격
공격자가중간자 공격을 수행 할 수 있는지 , 그 / 그녀는 해당 페이지 에 자바 스크립트 코드 를 주입 또는사용자의 암호를 훔치는HTTP 코드 의 동작을 변경함으로써 트래픽을 가로 챌 수 있다 . 대상 페이지 가 HTTPS 를 하더라도 , 이것은 중간자 공격으로부터시스템을 보호 하지 않는다.



로그아웃에서는 보안점검툴이 걸리는데 무슨문제일가요..
Cookie Not Marked As Secure
Url https://www.site.co.kr/manager/main/log_out
Identified Cookie  ci_cookie
 
Vulnerability Details
A Cookie was not marked as secure and transmitted over HTTPS. This means the cookie could potentially be stolen by an attacker who can successfully intercept and decrypt the traffic or following a successful MITM (Man in the middle) attack.
{PRODUCT} identified a cookie not marked as secure, and transmitted over HTTPS.
This means the cookie could potentially be stolen by an attacker who can successfully intercept and decrypt the traffic, or following a successful man-in-the-middle attack.
구글번역 
취약점 세부 정보
쿠키는 보안 상태로 표시 및 HTTPS 를 통해 전송 되지 않았습니다. 이 쿠키 는 잠재적으로 성공적으로 차단하고 트래픽을 해독 하거나 공격 ( 중간에 남자 ) 성공적인 MITM 에 따라 할 수있는 공격자에 의해 도난 당할 수 의미합니다.
확인 { 제품 은 } 쿠키 보안 으로 표시 하고, HTTPS를 통해 전송되지 않습니다 .
이 쿠키가 잠재적으로 성공적으로 차단하고 성공적인 중간자 공격 트래픽 , 또는 암호를 해독 할 수 공격자에 의해 도난 당할 수 의미합니다.

로그아웃엔 별거없는데...
    function log_out()
    {
        $this->session->sess_destroy();
        $this->load->helper('url');
        redirect('/manager');
    }
설정도 머 이상없는거같고...왜그런걸가요
$config['sess_cookie_name']        = 'ci_cookie';
$config['sess_expiration']        = 7200;
$config['sess_expire_on_close']    = TRUE;
$config['sess_encrypt_cookie']    = TRUE;
$config['sess_use_database']    = TRUE;
$config['sess_table_name']        = 'ci_sessions';
$config['sess_match_ip']        = TRUE;
$config['sess_match_useragent']    = TRUE;
$config['sess_time_to_update']    = 300;
 
 다음글 무한 include view 현상 (5)
 이전글 local 작업 후 서버에 올린 후 문제가 발생합니다.... (10)
목록

댓글

변종원(웅파) / 2015/12/08 20:35:39 / 추천 0
로그인, 로그아웃에 https 적용하시면 될거 같네요. ci랑 상관없는 부분입니다.
영등포 / 2015/12/08 21:15:37 / 추천 0
보시면 아시겠지만 https 적용되었는데...게속나오니까...ci쪽에 설정이나 방법이 잇나해서요
변종원(웅파) / 2015/12/08 22:13:17 / 추천 0
db에 저장하고 있고 쿠키에는 저장이 안되고 있는데 점검툴이 단순히 쿠키 존재 여부로만 체크하는게
아닐까 합니다. 
sess_encrypt_cookie도 true로 설정된 상태구요.