[웹 취약점 보안 가이드 ] Open Redirect
페이지 정보
본문
오늘도 안전한 대한민국 더욱 안전한 사이버 대한민국 건설을 위한 웹보안에 대해서 알아 보겠습니다. 외부의 악의적인 해킹 및 보안 취약점 공격으로 부터 웹사이트를 보호하기 위한 가이드로 Open Redirect 취약점에 대한 문제점 및 대책을 알아 보겠습니다.
1. Open Redirect 취약점 개요
외부의 해킹 공격자는 사용자 입력 값을 위조 또는 변조하여 일반 사용자를 악의적인 사이트로 이동시킨다. 일반 사용자의 입장에서 URL이 정상적인 주소와 악의적인 주소가 혼합된 형태를 띠기 때문에 일반 사용자는 해당 URL을 정상적인 주소로 착각할 가능성이 존재한다.
|
https://www.정상적인_사이트.com?returnURL=https://www.악의적인_사이트.com/ |
보안취약점으로 부터 해결 방법으로는 사용자 입력 값으로 전달되는 URL을 화이트 리스트로 관리되게 시큐어코딩 해야 한다. URL과 도메인을 화이트리스트로 관리가 되어야 일반 사용자가 안전하지 않은 사이트로 이동을 차단할 수 있다.
2. 보안에 안전하지 않은 웹사이트 소스코드
|
$returnURL=$_POST[‘returnURL’];
…(중략)…
echo “<script>location.replace(‘{$returnURL}’);</script>”; |
3. 보안에 안전한 웹사이트 소스코드
|
l $returnURL=$_POST[‘returnURL’];
l $returnURLs=array( l );
l $count=0;
l for($i=0; $i<count($returnURLs); $i++){ l if(strpos($returnURL, $returnURLs[$i])===false){ l } l else{ n $count++; l } l }
l if($count==0){ l echo “<script> u alert(‘잘못된 접근입니다.’); u location.replace(‘../index.php’); u </script>”; l } l else{ l …(중략)… l echo “<script>location.replace(‘{$returnURL}’);</script>”; l } |
4. 소스코드 적용 예시
보안에 안전한 웹사이트 소스코드 적용 전
보안에 안전한 웹사이트 소스코드 적용 후
모의해킹 · 취약점진단 · 정보보호컨설팅
- 이전글최근 3년간 해킹에 의해 발생한 보안 취약점 TOP 10 21.07.01
- 다음글[모의해킹/취약점진단] 소프트웨어의 DEBUG MODE 보안취약점 진단 21.04.27