[설계보안] 입력데이터 검증 및 표현 07 - HTTP 프로토콜 유효성 검증
가. 취약점 개요 - 개행문자를 포함한 외부입력값이 HTTP 응답헤더에 포함되어 두 번째 응답에 악의적인 코드를 주입하여 XSS 공격을 하는 취약점 → HTTP 응답분할 - 입력값을 외부 사이트 주소로 이용 시 공격자가 사용자를 피싱 사이트 등의 위험한 URL로 접속 유도하는 취약점 → 신뢰되지 않은 URL주소로 자동접속 연결 나. 요구사항 1. 외부입력값을 쿠키 및 HTTP 헤더정보로 사용 시 응답분할을 방지하기 위해 필터링 후 사용 2. 외부입력값을 페이지 이동 URL로 사용 시 허용된 URL목록의 선택자로 사용되도록 구현 다. 요구사항 별 고려사항 1. 외부입력값을 쿠키 및 HTTP 헤더정보로 사용 시 응답분할을 방지하기 위해 필터링 후 사용 - HTTP 응답헤더에 삽입되는 외부입력값을 반드시 개행..
Web Analytics/SW 보안약점 진단원
2019. 9. 22. 23:29
반응형
최근에 올라온 글
- Total
- Today
- Yesterday