모바일 딥링크 취약점
2023. 8. 10. 16:50ㆍ개발자료/Security
반응형
딥링크 URI 파싱시 취약점 함수 사용 금지
supstring, split 등을 함수를 이용해 URI를 직접 파싱하지 않는다.
Uri.getQueryParameter 함수를 이용해 사전에 정의된 인자값만 파싱한다.
인가된 URI에만 자바인터페이스 권한 부여
인가되지 않은 외부사이트에서 자바인터페이스, 브릿지 등을 통해 앱에 구현된 기능을 실행 개인정보가 유출되지 않도록 한다.
도메인 검증을 이용한 우회 방지
검증된 도메인에서만 웹뷰 자바인터페이스, 브릿지를 실행할수 있도록 한다.
도메인을 지정하고 사용할 경우 서브도메인 악용을 막기 위해 슬래시(/)로 끝나는 도메인명을 작성한다.
https://www.domain.com.attacker.net 형태로 도메인에 슬래시(/)를 넣지 않으면 서브도메인을 만들어 호출하게 할 수 있다.
URI.parse 함수 사용 시 특수문자 필터링 필요
URI.parse 함수 사용시 특수문자 문자열을 삽입하여 URI인증을 우회할 수 있다.
특수문자 검증 및 Intent.getData 등의 대체함수를 사용해서 특수문자로 인한 예외가 발생하지 않도록 한다.
반응형
'개발자료 > Security' 카테고리의 다른 글
KISA - JavaScript 시큐어코딩 가이드 (0) | 2023.06.01 |
---|---|
XSS(Cross Site Scripting) (0) | 2023.05.31 |
파일다운로드 취약점 - Path Traversal (0) | 2023.05.31 |
MITMProxy - OSX (0) | 2020.01.29 |