0110 ~23p / Open Redirect Vulnerabilities and HTTP Parameter Pollution

내용 간단 요약

1. Open Redirect 취약점

• 링크 클릭시 유저가 깨닫지 못하게 악성 사이트로 redirect

예시: 

1. https://app.shopify.com/services/google/themes/preview/supply–blue?domain_name=example.com -> http://example.com/admin 로 리다이렉트
2. MyShop - Account (mystore.myshopify.com -> mystore.myshopify.com.np 로 리다이렉트

1. HTTP Parameter pollution(HPP)

• 첫번째 파라미터 데이터만 받아들이거나 마지막 파라미터 데이터만 받아들일 수 있다.

예시: https://twitter.com/i/u?iid=F6542&uid=2321301342&uid=1134885524&nid=22+26 : uid 파라미터 두번쓰면 마지막 하나가 데이터로 전달된다.

잘 이해되지 않는 것들

1. 24페이지 3번 예시에서 hpp 개념에 대해 예시가 나와있고 zendesk 관련 파라미터가 나와있는데  그게 무슨 뜻인지 몰랐다. 스터디를 하며 사이트의 계정만들기 기능중 하나라는것을 알게 되었다.

 

책 외부에서 알게 된 내용

hpp 공격시 어떤 방식으로 공격을 시작할까는 구글링을 통해 찾았다.

https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/07-Input_Validation_Testing/04-Testing_for_HTTP_Parameter_Pollution

회고

잘한 것은 무엇인가? 

잘못한 것은 무엇인가?

해당 공부한 챕터의 실습이 부족했다.

아직도 안 풀린 궁금증은 무엇인가? 왜 풀리지 않았는가?

향후 어떻게 다르게 할 것 인가?

1. 실습 내용을 포함한 책으로 바꾸기로 했다.