바아흐로 클라우드 컴퓨팅의 시대입니다.

그중 IaaS(인프라서비스) 를 많이 사용하고 계시죠.

인프라 서비스를 조립해서 문제를 해결하는 사람을 요즘엔 SA(솔루션즈 아키텍트)라고 부릅니다.

대충 제 생각엔 "손안대고 코푸는 방법을 찾는 사람" 이라 생각되네요.

서버 손대기 귀찮으니까 아래의 방법으로 해결해보도록 합시다.

IaaS 중 하나인 클라우드플레어를 사용하시는 분들에 한해 세션정보 노출을 해결하는 방법에 대해 설명하고자 합니다.

- 문제점 : 사용자가 스스로의 세션정보를 읽을 수 있음. 따라서 캡챠키를 바로 읽을수 있음. 잠재적인 보안문제 발생가능.

- 해결책 : 세션정보를 못 읽도록 패치. (인프라 단에서 차단)

- 방법 :

(맥 컴퓨터라 스크린샷 해상도가 좀 크게 찍힙니다)

1. Security > WAF 로 이동

2. Firewall rules 탭 > Create firewall rule

3. 아래의 내용으로 입력

Rule name : gnuboard session block

URI Path contains session

Block

Deploy firewall rule

이제 해당 문제점은 해결되었습니다!

확인 방법 : 내사이트의URL/data/session/sess_mfv3b110f2svu8prsa3btg86d9  입력한 후 클라우드플레어 에러페이지가 출력되면 성공

4. Security > Overview 확인

스팸 막는데에 도움이 될겁니다.