모바일 딥링크 취약점

딥링크 URI 파싱시 취약점 함수 사용 금지 supstring, split 등을 함수를 이용해 URI를 직접 파싱하지 않는다. Uri.getQueryParameter 함수를 이용해 사전에 정의된 인자값만 파싱한다. 인가된 URI에만 자바인터페이스 권한 부여 인가되지 않은 외부사이트에서 자바인터페이스, 브릿지 등을 통해 앱에 구현된 기능을 실행 개인정보가 유출되지 않도록 한다. 도메인 검증을 이용한 우회 방지 검증된 도메인에서만 웹뷰 자바인터페이스, 브릿지를 실행할수 있도록 한다. 도메인을 지정하고 사용할 경우 서브도메인 악용을 막기 위해 슬래시(/)로 끝나는 도메인명을 작성한다. https://www.domain.com.attacker.net 형태로 도메인에 슬래시(/)를 넣지 않으면 서브도메인을 만들어..

2023.08.10