lascom

모의해킹·취약점진단 가이드

[웹 취약점 보안 가이드 ] Open Redirect

2021-05-13

라스컴

오늘도 안전한 대한민국 더욱 안전한 사이버 대한민국 건설을 위한 웹보안에 대해서 알아 보겠습니다. 외부의 악의적인 해킹 및 보안 취약점 공격으로 부터 웹사이트를 보호하기 위한 가이드로 Open Redirect 취약점에 대한 문제점 및 대책을 알아 보겠습니다. 


1. Open Redirect 취약점 개요


외부의 해킹 공격자는 사용자 입력 값을 위조 또는 변조하여 일반 사용자를 악의적인 사이트로 이동시킨다. 일반 사용자의 입장에서 URL이 정상적인 주소와 악의적인 주소가 혼합된 형태를 띠기 때문에 일반 사용자는 해당 URL을 정상적인 주소로 착각할 가능성이 존재한다.


https://www.정상적인_사이트.com?returnURL=https://www.악의적인_사이트.com/


보안취약점으로 부터 해결 방법으로는 사용자 입력 값으로 전달되는 URL을 화이트 리스트로 관리되게 시큐어코딩 해야 한다. URL과 도메인을 화이트리스트로 관리가 되어야 일반 사용자가 안전하지 않은 사이트로 이동을 차단할 수 있다.

 

2. 보안에 안전하지 않은 웹사이트 소스코드


$returnURL=$_POST[‘returnURL’];

 

…(중략)…

 

echo “<script>location.replace(‘{$returnURL}’);</script>”;

 


3. 보안에 안전한 웹사이트 소스코드


l  $returnURL=$_POST[‘returnURL’];

 

l  $returnURLs=array(

l  http://192.168.80.11/’,

l  https://192.168.80.11/’

l  );

 

l  $count=0;

 

l  for($i=0; $i<count($returnURLs); $i++){

l  if(strpos($returnURL, $returnURLs[$i])===false){

l  }

l  else{

n  $count++;

l  }

l  }

 

l  if($count==0){

l  echo “<script>

u  alert(‘잘못된 접근입니다.’);

u  location.replace(‘../index.php’);

u  </script>”;

l  }

l  else{

l  …(중략)…

l  echo “<script>location.replace(‘{$returnURL}’);</script>”;

l  }

 


4. 소스코드 적용 예시


보안에 안전한 웹사이트 소스코드 적용 전


a01b8e295ccbb6ba352cb443bed5ab46_1620888195_2873.png
 


보안에 안전한 웹사이트 소스코드 적용 후


a01b8e295ccbb6ba352cb443bed5ab46_1620888215_2772.png 

모의해킹 · 취약점진단 · 정보보호컨설팅

정보보호 전문기업  -   라스컴 시큐리티
secu.lascom.co.kr         www.lascom.co.kr
고객센터 1522-3863  secu@lascom.co.kr 
      목록