민감한 쿼리 문자열이 있는 GET 요청 방법 사용 (Authorization 헤더 세부정보)

설명

Authorization 헤더 값이 요청 URL에서 확인되었습니다. 이러한 헤더는 일반적으로 사용자 이름 및 비밀번호 또는 JWT 토큰을 포함하고 있습니다. 이러한 값은 GET 요청에서 절대 전송되어서는 안 됩니다. 왜냐하면 프록시 시스템에 의해 캡처되거나 브라우저 기록에 저장되거나 로그 파일에 저장될 수 있기 때문입니다. 공격자가 이러한 로그 또는 로깅 시스템에 접근할 수 있다면, 대상 계정에 대한 접근 권한을 얻을 수 있습니다.

수정 방법

Authorization 헤더 세부정보는 절대 GET 요청에서 전송되어서는 안 됩니다. JWT 토큰과 같은 민감한 정보를 전송할 때는 항상 POST 요청이나 헤더를 사용하여 민감한 데이터를 전송해야 합니다.

세부정보

ID Aggregated CWE Type Risk
598.3 true 598 Passive Medium

링크