OWASP Top10 2013 - A10. Unvalidated Redirects and Forwards (인가되지 않은 리다이렉트와 포워드)

인가되지 않은 리다이렉트와 포워드

정의

웹 어플리케이션이 리다이렉트와 포워드 기능을 사용하는데 이를 검증하지 않았을 때 나타날 수 있는 공격이다.

 

 

 

리다이렉트

브라우저가 응답을 받은 후 다시 보낼때 새로운 URL (이동할 URL)을 포함하여 요청하는 방식이다. 완전히 새로운 요청을 하는 것이기 때문에 Requset 속성이 가지고 있는 객체는 리다이렉트 발생시 추가적으로 발생한 왕복 처리를 해야 하기 때문에 Forward 보다는 느린 방식이다. 특히 URL에 파라미터 값이 보여지기 때문에 중요한 정보는 포함되지 않도록 유의해야 한다.

 

 

 

포워드

클라이언트가 웹 브라우저에서 요청시 포워드는 리다이렉트와 달리 클라이언트에게는 보여지지 않는 페이지에서 작업을 하게 된다. 따라서 클라이언트는 페이지의 이동을 알아챌 수 없고, URL 변경 또한 일어나지 않는다.

 

 

 

발생 원인 및 시나리오

발생 원인

웹 브라우저에서 사용자를 리다이렉트 시키거나, 포워드를 사용하는데 목적 페이지가 승인되지 않은 파라미터 값으로 지정될 수 있으며 공격자가 목적 페이지를 직/간접 적으로 입력할 수 있을 때 발생한다.

 

 

 

시나리오

1. 사용자가 자주 사용하는 페이지 (demo.testfire.net) 가 있다.

2. 해당 페이지는 리다이렉트시 목적 페이지를 검사하지 않은 취약점이 있다.

3. 해당 사용자에게 다음과 같은 URL을 클릭하도록 유도한다.

http://demo.testfire.net/disclaimer.htm?url=http://www.netscape.com

4. 사용자는 자신이 자주 사용하는 페이지가 보여지기 때문에 사회공학적 기법으로 인하여 클릭을 하게 된다.(100%는 아니지만 높은 확률임)

* 위의 예제에서는 정상 사이트인 netscape.com 으로 했지만 악의적인 사이트라던지, 해당 사이트가(netscape) 메인페이지가 변조되어

   악성 스크립트가 있을 경우 사용자는 취약점에 노출이 된다.

 

 

 

 

 

대응 방안

- 리다이렉트 페이지를 신뢰된 페이지로 제한한다.

 

- 신뢰된 페이지로 제한이 불가능할 경우 샌드박스 같은 가상화 환경에서 리다이렉트 되는 페이지를 미리 검사한다거나, 해당 URL이 악성인지

   아닌지 판별하는 기타 서비스를 이용하여  사용자를 리다이렉트 시켜야 한다.