#26. 검증되지 않은 리다이렉트와 포워드
-리다이렉션 시 목적지에 대한 검증이 이루어지지 않을 때 공격에 사용 가능하다.
-악성 사이트나 피싱 등의 공격으로 사용자에게 피해가 발생한다.
- 관리자 단말 pc에 악성코드가 감염되면 순식간에 내부 시스템에 침투할 수가 있다.
=> 해킹 방법: 공격자가 악의적인 사이트를 삽입하여 정상적인 리다이렉션 요청을 조작한다. 그리고, 유저는 공격자가 조작한 사이트로 리다이렉션이 된다.
* 실습: unvalidated redirects & forwards
=> 사이트를 선택하면 해당 링크로 리다이렉션 하게 되는데, 이걸 조작해서 다른 사이트로 보낼수가 있다. (location을 통해 리다이렉트한다)
방어 방법: 쿠키를 잘 제거시킨 다음에 case 별로 특정하게 url을 정해줘서 리다이렉션한다. (url로 넣는게 아니라, case 번호로 넣게 된다.)
'WEBHACKING > Beebox' 카테고리의 다른 글
| Part 9. 알려진 취약점 컴포넌트 (0) | 2019.11.06 |
|---|---|
| Part 8. 크로스 사이트 요청 변조 (0) | 2019.11.06 |
| Part 7. 기능 수준의 접근 통제 누락 (0) | 2019.11.06 |
| Part 6. 민감 데이터 노출 (0) | 2019.11.06 |
| Part 5- 보안 설정 오류 (0) | 2019.11.06 |