웹취약점 자동화공격에
captcha 대신 이중등록 막을 수 있지 않을까 하는 마음에 찾아봄
왠지 다른거 일수도 있을거 같긴한데..
과연 자동화 공격을 막을 수 있을 것인가
https://www.egovframe.go.kr/wiki/doku.php?id=egovframework:com:v3:cmm:doublesubmit
egovframework:com:v3:cmm:doublesubmit [eGovFrame]
새로고침 등의 중복 request 호출 시 등록 처리 등에 대한 이중 등록을 방지하는 기능을 제공한다. 세션을 통해 고유한 token을 보관하고 해당 token을 파라미터와 비교함으로서 중복 처리를 방지한
www.egovframe.go.kr
읽어보면 이해는 가는 내용.
적용할 파일 3개.
설명도 하면서 바로바로 다운로드 받을 수 있으면 얼마나 좋을까 싶지만 없다.
src\main\webapp\WEB-INF\META-INF\double-submit.tld
src\main\java\egovframework\com\cmm\util
src\main\java\egovframework\com\cmm\taglibs
위 3개 파일을 적용.
EgovDoubleSubmitHelper.java는 각 시스템에서 사용가능하게 커스터마이징이 필요해 보인다.
웹취약점 크로스사이트 스크립트에 사용.
lucy jar파일 적용
해당 jar를 사용하기 위해서는 lucy에서 사용하는 lang3이라던가 몇개가 필요하다.
혹시 모르는 simple captcha.
DoubleSubmit을 사용하기로 하여 captcha는 다음 기회에...
'전자정부프레임워크egov' 카테고리의 다른 글
| egovframework 개발자교육 후기 몰랐던 전자정부프레임워크 기능 (0) | 2024.02.23 |
|---|
