OWASP Top10 2013 - A10. Unvalidated Redirects and Forwards (인가되지 않은 리다이렉트와 포워드) 인가되지 않은 리다이렉트와 포워드 정의 웹 어플리케이션이 리다이렉트와 포워드 기능을 사용하는데 이를 검증하지 않았을 때 나타날 수 있는 공격이다. 리다이렉트 브라우저가 응답을 받은 후 다시 보낼때 새로운 URL (이동할 URL)을 포함하여 요청하는 방식이다. 완전히 새로운 요청을 하는 것이기 때문에 Requset 속성이 가지고 있는 객체는 리다이렉트 발생시 추가적으로 발생한 왕복 처리를 해야 하기 때문에 Forward 보다는 느린 방식이다. 특히 URL에 파라미터 값이 보여지기 때문에 중요한 정보는 포함되지 않도록 유의해야 한다. 포워드 클라이언트가 웹 브라우저에서 요청시 포워드는 리다이렉트와 달리 클라이언트에게는 보여지지 않는 페이지에서 작업을 하게 된다. 따라서 클라이언트는 페이지의 이동을 알아챌 수.. 더보기 이전 1 2 3 4 ··· 144 다음