취약점 원인 : 테스트 응답이 원래 유효한 응답과 동일합니다. 이것은 로그아웃 후에도 여전히
보호된 리소스에 액세스할 수 있었음을 보여줍니다.
권고 수정 작업 : 유저가 서명하여 기록할때 관련된 세션 식별자를 무효로 만들어야 한다
Session Not Invalidated After Logout
한국정보보호진흥원에 웹사이트 취약점을 보낸결과 위와 같은 답변이 왔습니다.
로그아웃 처리단에서 세션을 무효화 하라고 하는데요..
아래와 같이 로그아웃 스크립트로 처리되고 있습니다.
더 이상 할게 있는지요?
Response.AddHeader "Cache-Control", "no-cache"
Response.Expires=-1
Session.Abandon
Session("userid") = ""
Response.Cookies("ce").Domain = "xxx.co.kr"
Response.Cookies("ce") = ""
Response.Cookies("ce").expires = date - 1
If loc <> "" Then
Response.Redirect loc
Else
Response.Write "<script language=JavaScript>" &_
"parent.window.location.href = '/gate.asp';" &_
"</script>"
Response.End
End If
