반응형
1. 신뢰되지 않는 URL 주소로 자동연결의 정의
사용자로부터 입력되는 값을 외부사이트의 주소로 사용하여 자동으로 redirect 하는 경우 피싱 공격에 노출되는 취약점을 가질 수 있다.
2. 안전한 코딩기법
자동 연결할 외부 사이트의 URL과 도메인은 화이트 리스트로 관리하고, 사용자의 입력값을 통해 주소로 리다이렉트 시키는경우 입력값이 존재하는지 여부를 확인한다.
3. 예시
다음과 같은 코드가 존재할 경우에 사용자는 이 링크를 클릭함으로서 피싱사이트로 접근된다.
<a href = "http://bank.example.com/redirect?url=attacker.example.net">Click</a>
이는 이동할 수 있는 리스트를 사전에 정의해놓고 그 리스트에 포함되어있지 않으면 이동시키지 않는 방법이다.
반응형
'프로그래밍 > 시큐어코딩' 카테고리의 다른 글
| [시큐어 코딩] #8 HTTP 응답 분할 / CRLF (0) | 2020.07.02 |
|---|---|
| [시큐어 코딩] #7 크로스사이트 요청 위조 / CSRF (0) | 2020.07.02 |
| [시큐어 코딩] #5 위험한 형식 파일 업로드 (0) | 2020.07.02 |
| [JAVA] Enum이란? (0) | 2020.07.02 |
| [시큐어 코딩] #4 운영체제 명령어 삽입 (0) | 2020.07.02 |