JSON 하이재킹

설명

JSON 데이터가 하이재킹에 취약할 수 있는지 확인합니다. 이 체크는 JSON 배열을 반환하는 GET 요청을 찾습니다. 이는 악의적인 웹사이트가 하이재킹을 통해 해당 JSON 배열을 읽을 수 있는 가능성이 있습니다.

복구

JSON 하이재킹은 공격자가 악의적인 웹사이트나 유사한 공격 경로를 통해 GET 요청을 보내고 사용자의 저장된 자격 증명을 활용하여 해당 사용자가 액세스할 수 있는 민감하거나 보호된 데이터를 검색할 수 있게 하는 것을 가능케 합니다. JSON 배열 자체만으로는 유효한 JavaScript이므로, 해당 JSON 배열만 반환하는 리소스에 악의적인 GET 요청을 보낼 경우, 공격자는 그 데이터를 읽을 수 있는 악의적인 스크립트를 사용할 수 있게 됩니다. 필요한 경우에도 GET 요청은 절대적으로 JSON 배열을 반환해서는 안 되며, 리소스에 인증이 필요한 경우라 할지라도 POST를 사용하거나 배열을 JSON 객체로 래핑하는 것을 고려해야 합니다.

링크