언젠간올껄

■ 취약점 설명 (Open Redirect) 웹 서비스 내 사용자 입력 값으로 Redirect 하는 기능에서 가능한 공격 방법으로 공격자는 공격자 지정 페이지로 리다이렉트 시켜 피싱, XSS 등으로 이어질 수 있는 취약점이다. Ex) https://kingkong.com/redirect?redirectURL=https://naver.com ■ 점검 방법 redirectURL 파라미터에 공격자 지정 페이지 입력 후 요청 시 공격자 페이지로 리다이렉트 되는 것을 점검 ■ 우회 패턴 허용된 도메인 = kingkong.com 공격자 지정 도메인 = naver.com Ex. /redirect?redirectURL= https://kingkong.com@naver.com /redirect?redirectURL=ht..

■ 취약점 설명 (XSS ,Cross Site Scripting)악의적인 사용자가 공격하려는 사이트에 스크립트를 넣는 기법 ■ 종류Reflected XSSStored XSSDOM Based XSS (DOM : Document Object Model) DOMhtml 코드는 정적이여서 사용자와 상호작용이 불가능 동적인 이벤트를 하기 위해 사용자에게 프로그래밍 인터페이스를 제공하는 것-> 클라이언트 측에서 DOM을 통해 동적 페이지 구성을 하는 기능에서 XSS 발생되는 것을 DOM XSS라고 한다. 목적세션ID를 탈취해 사용자의 계정 탈취임의의 사이트로 리다이렉트 CSRF 로 이어져 요청 위조로 이어질 수 있다.리다이렉트 되는 것이 왜 위험할까? Ex) Drive by download 를 이용하여 악성파일을 ..