로그인 회원가입

목록

이전글 다음글

이거 오픈 URL 리다이렉트 취약점이 아닌지요

0m3g4

프로필 보기 이 회원 글보기 이 회원의 댓글보기

· 14년 전 · 조회 6940 6940 · 댓글 7 7

/logout.php?url=http://evilsite.com
/member_confirm.php?url=http://evilsite.com

외부 URL 검증이 전혀 없는데

괜찮으려나요?

OWASP라는 기관에서 해마다 발표하는 웹애플리케이션 10대 취약점 랭크의 A10항에 해당되는 취약점 입니다.

자세한 내용은 해당 이미지를 참고 하시길 바랍니다.

http://image.fileslink.com/195535b358b6e40d/OWASP_T10_-_2010_Korean[1]_페이지_17.jpg

|

댓글 7개

JMoon

프로필 보기 이 회원 글보기 이 회원의 댓글보기

14년 전

로그인이나 로그아웃후 해당 주소로 이동하는건데 그걸로 뭐가 가능할지...저는잘 모르겠네요

0m3g4

프로필 보기 이 회원 글보기 이 회원의 댓글보기

14년 전

https://www.owasp.org/index.php/Open_redirect

http://projects.webappsec.org/w/page/13246981/URL-Redirector-Abuse

엔피씨

프로필 보기 이 회원 글보기 이 회원의 댓글보기

14년 전

정확한 설명이나 정확한 질문을 해주셔야 답변이 가능할것같습니다.^^;
알아서 해석해라는 건지요^^;
링크만 댓글에 달아놓고 보라는건 '한글'로 된 사이트나 가능할것같습니다^^;

0m3g4

프로필 보기 이 회원 글보기 이 회원의 댓글보기

14년 전

아 죄송합니다.
자세한건 해당 블로그의 한글로 번역된 OWASP TOP10 Kor 파일을 참고하시길 바랍니다.

http://marcof.tistory.com/52

웃는하루

프로필 보기 이 회원 글보기 이 회원의 댓글보기

14년 전

그동안 쓰면서 당연히 안되겠지했는데 되는군요.
패치가 필요해보입니다.
관련정보: http://cwe.mitre.org/data/definitions/601.html

왕년에

프로필 보기 이 회원 글보기 이 회원의 댓글보기

14년 전

로컬또는 검증된 url만 리다이렉트시키도록 해야하는건가요...

0m3g4

프로필 보기 이 회원 글보기 이 회원의 댓글보기

14년 전

네 맞습니다~

댓글 작성

댓글을 작성하시려면 로그인이 필요합니다.

로그인하기

🐛 버그신고