728x90 반응형 보안57 HTTP 응답 분할 HTTP 응답 분할 외부 입력값에 개행문자열(↳ = CRLF = \r\n) 포함 여부를 확인하지 않고 HTTP 응답 헤더의 값으로 사용한 경우 발생 → 여러개의 응답이 만들어져서 사용자에게 전달 → 분할된 응답 중 본문 영역에 실행 가능한 코드를 삽입하여 전달, 실행 응답헤더의 값으로 사용하는 경우 예 [방어기법] 외부 입력값을 응답 헤더의 값으로 사용하는 경우, 개행문자열을 필터링(제거)하고 사용한다. 2019. 10. 1. 크로스사이트 요청 위조 요청이 발생했을 때, 요청에 대한 요청 주체와 요청 절차에 대한 검증이 불충분한 상태에서 요청을 처리하는 경우 발생 → 희생자의 권한으로 해당 기능이 실행 [방어기법] 2019. 10. 1. LDAP 삽입 2019. 10. 1. 신뢰되지 않은 URL 주소로 자동접속 연결 리다이렉트(또는 포워드) 기능이 존재하는 경우, 외부 입력값이 검증, 제한 없이 리다이렉트 또는 포워드 주소로 사용되는 경우 발생 → 의도하지 않은 주소로 리다이렉트(또는 포워드)가 발생 → 공격자가 미리 만들어 놓은 사이트로 접속을 유도하여 사용자 정보를 탈취 = 피싱(phishing) [정상적인 요청] http://www.다음.net/dispatcher.jsp?url=main.jsp ⇒ 사용자에게 http://www.다음.net/main.jsp 화면이 노출 [비정상적인 요청] http://www.다음.net/dispatcher.jsp?url=http://www.그다음.net/main.jsp ⇒ 사용자에게 http://www.그다음.net/main.jsp 화면이 노출 [공격문자열을 생성하여 불특정 다수.. 2019. 10. 1. 이전 1 ··· 8 9 10 11 12 13 14 15 다음 728x90 반응형
