JSON 하이재킹

설명

하이재킹에 취약할 수 있는 JSON 데이터를 검사합니다. 이 체크는 JSON 배열을 반환하는 GET 요청을 찾으며, 이는 악의적인 웹사이트에 의해 하이재킹되고 읽힐 수 있습니다.

수정 방법

JSON 하이재킹은 공격자가 악의적인 웹사이트 또는 유사한 공격 벡터를 통해 GET 요청을 보내고 사용자의 저장된 자격 증명을 활용하여 해당 사용자가 액세스할 수 있는 민감하거나 보호된 데이터를 검색할 수 있게 합니다. JSON 배열 자체가 유효한 JavaScript이기 때문에, 오직 JavaScript 배열만 반환하는 리소스에 대한 악의적인 GET 요청은 공격자가 요청으로부터 배열의 데이터를 읽기 위해 악의적인 스크립트를 사용할 수 있게 할 수 있습니다. GET 요청은 절대 JSON 배열을 반환해서는 안 되며, 리소스에 접근하기 위해 인증이 필요하더라도 마찬가지입니다. 이러한 요청에 대해 GET 대신 POST를 사용하거나 배열을 JSON 객체로 감싸는 것을 고려하세요.

링크

OWASP
CWE

GitLab 원문 보기

도움말

기능 사용 가능성과 제품 평가판

모든 GitLab Tier와 기능을 보거나 업그레이드하려면
가격 페이지를 확인하세요.

GitLab을 무료로 체험해 30일 동안 모든 기능에
액세스해 보세요.

도움받기

기능을 설정하거나 사용하는 데 문제가 있으면
인포그랩에 지원을 요청하세요.
(GitLab 구독에 따라 다름)

지원 요청하기

인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!