라스컴 시큐리티
HOME
  • 수행실적
  • 정보보호가이드
  • 수행실적

    정보보호가이드

    [웹 취약점 보안 가이드 ] Open Redirect

    페이지 정보

    profile_image
    작성자 라스컴
    댓글 댓글 0건   조회Hit 6,349회   작성일Date 21-05-13 15:44

    본문

    오늘도 안전한 대한민국 더욱 안전한 사이버 대한민국 건설을 위한 웹보안에 대해서 알아 보겠습니다. 외부의 악의적인 해킹 및 보안 취약점 공격으로 부터 웹사이트를 보호하기 위한 가이드로 Open Redirect 취약점에 대한 문제점 및 대책을 알아 보겠습니다. 


    1. Open Redirect 취약점 개요


    외부의 해킹 공격자는 사용자 입력 값을 위조 또는 변조하여 일반 사용자를 악의적인 사이트로 이동시킨다. 일반 사용자의 입장에서 URL이 정상적인 주소와 악의적인 주소가 혼합된 형태를 띠기 때문에 일반 사용자는 해당 URL을 정상적인 주소로 착각할 가능성이 존재한다.


    https://www.정상적인_사이트.com?returnURL=https://www.악의적인_사이트.com/


    보안취약점으로 부터 해결 방법으로는 사용자 입력 값으로 전달되는 URL을 화이트 리스트로 관리되게 시큐어코딩 해야 한다. URL과 도메인을 화이트리스트로 관리가 되어야 일반 사용자가 안전하지 않은 사이트로 이동을 차단할 수 있다.

     

    2. 보안에 안전하지 않은 웹사이트 소스코드


    $returnURL=$_POST[‘returnURL’];

     

    …(중략)…

     

    echo “<script>location.replace(‘{$returnURL}’);</script>”;

     


    3. 보안에 안전한 웹사이트 소스코드


    l  $returnURL=$_POST[‘returnURL’];

     

    l  $returnURLs=array(

    l  http://192.168.80.11/’,

    l  https://192.168.80.11/’

    l  );

     

    l  $count=0;

     

    l  for($i=0; $i<count($returnURLs); $i++){

    l  if(strpos($returnURL, $returnURLs[$i])===false){

    l  }

    l  else{

    n  $count++;

    l  }

    l  }

     

    l  if($count==0){

    l  echo “<script>

    u  alert(‘잘못된 접근입니다.’);

    u  location.replace(‘../index.php’);

    u  </script>”;

    l  }

    l  else{

    l  …(중략)…

    l  echo “<script>location.replace(‘{$returnURL}’);</script>”;

    l  }

     


    4. 소스코드 적용 예시


    보안에 안전한 웹사이트 소스코드 적용 전


    a01b8e295ccbb6ba352cb443bed5ab46_1620888195_2873.png
     


    보안에 안전한 웹사이트 소스코드 적용 후


    a01b8e295ccbb6ba352cb443bed5ab46_1620888215_2772.png 

    모의해킹 · 취약점진단 · 정보보호컨설팅

    정보보호 전문기업  -   라스컴 시큐리티
    www.lassecu.com         www.lascom.co.kr
    070-4910-9042           secu@lascom.co.kr