• 자유게시판
• 유머게시판
• AIHub.
• 설문게시판
• 포인트경매
• 포인트가위바위보
• 포인트야구게임
• 해외사용자
• 정치/경제/사회
• 사진
• 고양이
• 소모임

• 자유게시판
• 유머게시판
• AIHub.
• 설문게시판
• 포인트경매
• 포인트가위바위보
• 포인트야구게임
• 해외사용자
• 정치/경제/사회
• 사진
• 고양이
• 소모임

십년전오늘

이거 오픈 URL 리다이렉트 취약점이 아닌지요 정보

이거 오픈 URL 리다이렉트 취약점이 아닌지요

• 0m3g4 홈페이지 자기소개 아이디로 검색 회원게시물
• 2011.04.25 11:30:14
• 6,497

댓글 7

본문

/logout.php?url=http://evilsite.com
/member_confirm.php?url=http://evilsite.com

외부 URL 검증이 전혀 없는데

괜찮으려나요?

OWASP라는 기관에서 해마다 발표하는 웹애플리케이션 10대 취약점 랭크의 A10항에 해당되는 취약점 입니다.

자세한 내용은 해당 이미지를 참고 하시길 바랍니다.

http://image.fileslink.com/195535b358b6e40d/OWASP_T10_-_2010_Korean[1]_페이지_17.jpg

• 복사
• SNS 공유

  공유하기

댓글 전체

JMoon 홈페이지 자기소개 아이디로 검색 회원게시물 11.04.25 12:49:52

로그인이나 로그아웃후 해당 주소로 이동하는건데 그걸로 뭐가 가능할지...저는잘 모르겠네요

로그인이나 로그아웃후 해당 주소로 이동하는건데 그걸로 뭐가 가능할지...저는잘 모르겠네요

0m3g4 홈페이지 자기소개 아이디로 검색 회원게시물 11.04.25 13:05:26

https://www.owasp.org/index.php/Open_redirect

http://projects.webappsec.org/w/page/13246981/URL-Redirector-Abuse

https://www.owasp.org/index.php/Open_redirect http://projects.webappsec.org/w/page/13246981/URL-Redirector-Abuse

엔피씨 홈페이지 자기소개 아이디로 검색 회원게시물 11.04.25 13:30:55

정확한 설명이나 정확한 질문을 해주셔야 답변이 가능할것같습니다.^^;
알아서 해석해라는 건지요^^;
링크만 댓글에 달아놓고 보라는건 '한글'로 된 사이트나 가능할것같습니다^^;

정확한 설명이나 정확한 질문을 해주셔야 답변이 가능할것같습니다.^^; 알아서 해석해라는 건지요^^; 링크만 댓글에 달아놓고 보라는건 '한글'로 된 사이트나 가능할것같습니다^^;

0m3g4 홈페이지 자기소개 아이디로 검색 회원게시물 11.04.25 13:40:50

아 죄송합니다.
자세한건 해당 블로그의 한글로 번역된 OWASP TOP10 Kor 파일을 참고하시길 바랍니다.

http://marcof.tistory.com/52

아 죄송합니다. 자세한건 해당 블로그의 한글로 번역된 OWASP TOP10 Kor 파일을 참고하시길 바랍니다. http://marcof.tistory.com/52

웃는하루 홈페이지 자기소개 아이디로 검색 회원게시물 11.04.25 14:56:41

그동안 쓰면서 당연히 안되겠지했는데 되는군요.
패치가 필요해보입니다.
관련정보: http://cwe.mitre.org/data/definitions/601.html

그동안 쓰면서 당연히 안되겠지했는데 되는군요. 패치가 필요해보입니다. 관련정보: http://cwe.mitre.org/data/definitions/601.html

왕년에 자기소개 아이디로 검색 회원게시물 11.04.25 14:59:55

로컬또는 검증된 url만 리다이렉트시키도록 해야하는건가요...

로컬또는 검증된 url만 리다이렉트시키도록 해야하는건가요...

0m3g4 홈페이지 자기소개 아이디로 검색 회원게시물 11.04.25 15:57:07

네 맞습니다~

네 맞습니다~