시큐어코딩1 [시큐어코딩] 신뢰되지 않는 URL 주소로 자동접속 연결 사용자로부터 입력되는 값을 외부사이트의 주소로 사용하여 자동으로 연결하는 서버 프로그램 -> 피싱(Phishing) 공격에 노출되는 취약점 공격자는 해당 폼의 요청을 변조함으로써 사용자가 위험한 URL로 접속할 수 있 도록 공격 - 자동 연결할 외부 사이트의 URL과 도메인은 화이트 리스트로 관리 - 사용자 입력값을 자동 연결할 사이트 주소로 사용하는 경우에는 입력된 값이 화이트 리스트에 존재하는지 확인 EX) 외부로 연결할 URL과 도메인들은 화이트 리스트를 작성한 후, 그 중에서 선택하도록 함으로써 안전하지 않은 사이트로의 접근을 차단 //이동 할 수 있는 URL범위를 제한하여 피싱 사이트등으로 이동 못하도록 한다. String allowedUrl[] = { "/main.do", "/login.jsp.. 2021. 8. 9. 이전 1 다음