딥링크 URI 파싱시 취약점 함수 사용 금지 supstring, split 등을 함수를 이용해 URI를 직접 파싱하지 않는다. Uri.getQueryParameter 함수를 이용해 사전에 정의된 인자값만 파싱한다. 인가된 URI에만 자바인터페이스 권한 부여 인가되지 않은 외부사이트에서 자바인터페이스, 브릿지 등을 통해 앱에 구현된 기능을 실행 개인정보가 유출되지 않도록 한다. 도메인 검증을 이용한 우회 방지 검증된 도메인에서만 웹뷰 자바인터페이스, 브릿지를 실행할수 있도록 한다. 도메인을 지정하고 사용할 경우 서브도메인 악용을 막기 위해 슬래시(/)로 끝나는 도메인명을 작성한다. https://www.domain.com.attacker.net 형태로 도메인에 슬래시(/)를 넣지 않으면 서브도메인을 만들어..

https://www.kisa.or.kr/2060204/form?postSeq=14&page=1 KISA 한국인터넷진흥원 www.kisa.or.kr

웹 상에서 가장 기초적인 취약점 공격 방법의 일종으로, 공격하려는 사이트에 스크립트를 넣는 기법을 말한다. 공격에 성공하면 사이트에 접속한 사용자는 삽입된 코드를 실행하게 되며, 의도치 않은 행동을 수행시키거나 쿠키나 세션 토큰 등의 민감한 정보를 탈취한다. 조치가이드 외부 입력값 또는 출력값에 스크립트가 삽입되지 못하도록 문자열을 치환한다. 아래는 XSS 공경에서 자주 사용되는 HTML 특수문자이다. HTML 특수문자 HTML Entity HTML 특수문자 HTML Entity > & & " " ' ' OWASP XSS 공격방지 7개명 허용된 위치가 아닌 곳에 신뢰할 수 없는 데이터가 들어가는것을 허용하지 않는다. 신뢰할수 없는 데이터는 검증해라. HTML 속성에 신뢰할수 없는 데이터가 들어갈..

다운로드 대상 파일의 디렉토리를 벗어나 다른경로에 있는 파일까지 접근해 파일을 다운로드하거나 접근 가능한 것. 조치가이드 파일 다운로드시 허용된 경로 이외의 접근을 차단하고 특정 디렉토리의 파일만 다운로드가 가능하도록 설정 파일 경로 및 파일명을 데이터베이스에 저장하여 파일 다운로드 수행시, 파일 경로와 이름을 검증하도록 조치 다운로드 시 사용자 요청 메시지에 포함된 경로 조작 문자(.., /, \) 필터링 조치 - Path Traversal 문자열 체크 @ 서버단에서 상위 디렉토리로 이동하는 ../ 또는 ..\\ 문자열 존재여부를 확인한다. // Java String strFullPath = request.getParameter("filePath") + request.getParameter("fileN..

MITM(Man In The Middle) Proxy 웹사이트 : https://mitmproxy.org/ mitmproxy - an interactive HTTPS proxy Mitmproxy powers a number of notable open-source projects: pathod, mitmproxy's sister project to craft malformed HTTP/1, HTTP/2 and WebSocket requests. netograph, a privacy analysis and measurement service. tamper, a Chrome extension that lets you edit rem mitmproxy.org mitmproxy, mitmdump, mitmweb..