최근 금융 도메인의 인증 시스템 을 고도화하던 중, 모의 해킹(Penetration Test)에서 치명적인 시나리오가 보고되었습니다. 공격자가 XSS(Cross-Site Scripting) 취약점을 통해 사용자의 Refresh Token 을 탈취했을 때, Access Token 의 유효기간이 짧더라도 공격자는 탈취한 리프레시 토큰으로 끊임없이 새로운 액…

The security audit report landed on my desk on a Friday afternoon, and it wasn't pretty. While our access token expiration was tight (15 minutes), our handling of refresh tokens created a massiv…

「ユーザーがログアウトしたはずなのに、誰かがアカウントを操作している」。これは以前、私が担当していた大規模なEコマースプラットフォーム（MAU 50万規模）で実際に発生したインシデントです。原因は、XSS脆弱性を突かれてローカルストレージから盗まれた長期間有効なリフレッシュトークンでした。アクセストークンの有効期限を15分に短縮していても、リフレッシュトークンが生きていれば攻撃者は無限に新し…

Hace unos meses, durante una auditoría de seguridad en una plataforma Fintech que manejaba más de 50,000 usuarios activos diarios, nos encontramos con una pesadilla silenciosa: el secuestro de sesi…