Embedded Files
비정상적인 HTTP 헤더, 자동연결 URL 링크 등 사용자가 원하지 않은 결과를 생성하는 HTTP 헤더·응답결과에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리방법을 설계해야 한다.
(입력데이터 검증 및 표현) HTTP 응답분할
(입력데이터 검증 및 표현) 신뢰되지 않은 URL주소로 자동접속 연결
OO 등 국내 주요 대형 인터넷 사이트가 동시에 분산서비스거부(DDoS) 공격을 받아 서비스가 마비되는 사태가 발생했다.
7일 오후 6~7시부터 8일 자정이 지난 현재, OO 등 국내 사이트가 접속이 안되거나 불안한 상태다.
방송통신위원회와 한국정보보호진흥원(KISA)은 이날 오후 7시경부터 이들 주요 인터넷 사이트에 서비스가 중단되는 현상이 발생하자, 긴급히 상황 분석 작업을 벌였다.
보안대책
보안대책
① 외부 입력값을 쿠키 및 HTTP 헤더정보로 사용하는 경우, HTTP 응답분할 취약점을 가지지 않도록 필터링해서 사용
② 외부 입력값이 페이지이동(리다이렉트 또는 포워드)을 위한 URL로 사용되어야 하는 경우, 해당 값은 시스템에서 허용된 URL목록의 선택자로 사용
설계 시 고려사항
설계 시 고려사항
① HTTP 응답 헤더에 삽입되는 외부 입력값은 반드시 ₩r₩n 문자를 제거하여 사용(시큐어코딩 규칙 정의)
프로그램에서 Cookie 설정, 응답헤더 설정, 페이지 리다이렉트를 위한 Location정보 삽입 등 응답헤더에 외부 입력값이 삽입되는 경우,
HTTP 응답분할을 일으킬 수 있는 문자(₩r₩n)를 필터링 여부(검증)
② 페이지 이동을 허용하는 URL목록을 소스코드에 하드코딩 하거나, 설정파일(XML, properties)에 저장하여 허용된 URL로만 이동
HTTP 응답 분할
HTTP 응답 분할
신뢰되지 않는 URL 주소로 자동접속 연결
신뢰되지 않는 URL 주소로 자동접속 연결
Google Sites
Report abuse