1.7 HTTP 프로토콜 유효성 검증

1.7 HTTP 프로토콜 유효성 검증

 

1. 보안약점 항목

• HTTP 응답분할
• 신뢰되지 않은 URL주소로 자동접속 연결

2. 설명

• 비정상적인 HTTP 헤더, 자동연결 URL 링크 등 사용자가 원하지 않은 결과를 생성하는 HTTP 헤더·응답결과에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리방법을 설계해야 한다

3. 보안대책

• 외부입력값을 쿠키 및 HTTP 헤더정보로 사용하는 경우, HTTP 응답분할 취약점을 가지지 않도록 필터링해서 사용해야 한다.
• 외부입력 값이 페이지 이동(리다이렉트 또는 포워드)을 위한 URL으로 사용되어야 하는 경 우, 해당 값은 시스템에서 허용된 URL목록의 선택자로 사용되도록 해야 한다.

 
사례1 : HTTP 응답분할
공격자가 HTTP 요청에 삽입한 인자 값이 HTTP 응답헤더에 포함되어 사용자에게 다시 전달될 때 개행문자를 이용하여 첫 번째 응답을 종료시키고 두 번째 응답에 악의적인 코드가 주입되어 XSS공격 등이 가능해진다.

 

사례2 : 신뢰되지 않은 URL로 자동 접속연결
사용자의 입력값을 외부 사이트의 주소로 사용하여 자동으로 연결하는 서버 프로그램에서는 공격자가 사용자를 피싱(Phishing)사이트 등 위험한 URL으로 접속하도록 유도할 수 있게 된다.