이 태그가 달린 문서 1건
세션 고정은 공격자가 아는 세션 ID를 피해자가 쓰게 만든 뒤, 그 ID로 로그인하면 피해자를 가장하는 공격입니다. 진짜 방어법: 로그인 시(그리고 권한 변경 시) 세션 ID를 재생성하는 것. URL의 ID를 받지 말고, HttpOnly/Secure/SameSite로 쿠키를 강화하세요.