[소스코드] Open Redirect 조치방법

□ 개요

사용자의 입력값에 대하여 의도치 않은 동작(사이트 이동 등)이 일어나는 취약점이다. 리다이렉션 구문이 있는곳에 별도의 검증을 수행하지 않거나 변수로 이루어져있으면 스캐너가 취약점으로 잡는다. 개발자의 센스로 예외처리 요청을 하거나 조치를 해야한다.

 

□ 해결방법

1.사용자 입력값에 영향을 받지않으면 영향도 없음으로 담당자에게 예외처리 요청을한다.

2.사용자 입력값에 영향을 받지않도록 조치를 한다.

3.사용자 입력값에 대하여 특수문자를 필터링한다.

4.리다이렉션 필요시 입력값 검증한다.

strDest = form.dest.value;
pureStr = str검증함수();
window.open(pureStr,"myresults");

 

□ 참고

소스코드 스캐너의 경우 사용자의 입력값에 대한 인과관계없이 별도의 필터링 코드가 없으면 취약점으로 표시가 된다 개발자는 이를 파악하여 예외처리로 해당건을 쳐 내야한다. 안그러면 골치 아프다.