신뢰할 수 없는 사이트로의 URL 리디렉션 (‘오픈 리디렉션’)
설명
이 사이트는 사용자 제공 입력에서 오픈 리디렉션이 허용되는 것으로 발견되었습니다. 오픈 리디렉션은 원래 도메인이나 URL이 합법적인 링크처럼 보이지만, 사용자를 악의적인 사이트로 리디렉션하는 피싱 공격에서 일반적으로 악용됩니다. 예를 들면 https://example.com/redirect?url=https://%62%61%64%2e%63%6f%6d%2f%66%61%6b%65%6c%6f%67%69%6e
이 있으며, 이를 디코드하면 bad.com/fakelogin
이 됩니다.
수정 방법
GET
요청에서 발견된 사용자 입력을 기반으로 클라이언트를 리디렉션하지 마십시오. 사용자를 리디렉션할 대상 링크 목록은 서버 측에 포함되어야 하며, 리디렉션할 링크를 반환하는 인덱스로 숫자 값을 사용하여 검색하는 것이 권장됩니다. 예를 들어, /redirect?id=1
는 애플리케이션이 1
인덱스를 조회하고 https://example.com
과 같은 URL을 반환하게 합니다. 이 URL은 이후에 사용자에게 리디렉션하기 위해 301 응답 코드와 Location
헤더를 사용하여 사용됩니다.
세부정보
ID | 집계됨 | CWE | 유형 | 위험 |
---|---|---|---|---|
601.1 | true | 601 | 수동 | 낮음 |