JSON 하이재킹

설명

JSON 데이터가 하이재킹에 취약할 수 있는지 확인합니다. 이 체크는 JSON 배열을 반환하는 GET 요청을 찾으며, 악성 웹사이트에서 해당 데이터를 하이재킹하고 읽을 수 있는 가능성이 있습니다.

조치

JSON 하이재킹은 공격자가 악성 웹사이트나 유사한 공격 경로를 통해 GET 요청을 보내고 사용자의 저장된 자격 증명을 사용하여 해당 사용자가 액세스할 수 있는 민감하거나 보호된 데이터를 검색하는 것을 허용합니다. JSON 배열 자체는 유효한 JavaScript이므로, JavaScript 배열만 반환하는 리소스로의 악성 GET 요청은 공격자가 해당 요청에서의 배열 데이터를 읽는 데 악용할 수 있습니다. 인증이 필요한 리소스일지라도 GET 요청은 결코 JSON 배열을 반환해서는 안 되며, 이 요청에 대해 POST를 사용하거나 배열을 JSON 객체로 래핑하는 것을 고려해야 합니다.

링크

GitLab 원문 보기

도움말

기능 사용 가능성과 제품 평가판

모든 GitLab Tier와 기능을 보거나 업그레이드하려면
가격 페이지를 확인하세요.

GitLab을 무료로 체험해 30일 동안 모든 기능에
액세스해 보세요.

도움받기

기능을 설정하거나 사용하는 데 문제가 있으면
인포그랩에 지원을 요청하세요.
(GitLab 구독에 따라 다름)

지원 요청하기