Page 0:
Page 1: 한국정보보호인식㈜ / 김주일 선임연구원 jikim@securitya.kr
Page 2: 1. 리다이렉트과 포워드
2. 영향 3. 시연 4. 보안대책(ISMS 통제 항목)
Information Security Management System
Page 3: 1. 리다이렉트와 포워드
리다이렉션(Redirect) : 클라이언트에서 해당 페이지로의 재 요청이 발생 포워딩(Forward) : 서버 단 자체에서 페이지 변경이 발생
Redirect 1.Request 2. Response 3.Response 3. Request 4. Response
Forward
1.Request
2.Request
Information Security Management System
Page 4: 2. 영향(Con’t)
리다이렉션 시나리오
1
공격자는 이메일, 웹사이트를 통해 악성사이트의 주소가 기입된 내용을 작성
발송자: OO세무서 제목: 이의 신청 누락으로 미신청 환급액이 존재합니다. 여기를 클릭하여 이의를 신청하십시오.
3
웹어플리케이션은 일반사용자를 공격자가 입력한 사이트로 리다이렉션합니다.
Knowledge Mgmt
Communication
2
일반사용자는 검증되지 않은 URL주소가 포함된 링크를 클릭합니다.
Custom Code
Evil Site
4
일반사용자 PC는 개인정보 수..
Page 1: 한국정보보호인식㈜ / 김주일 선임연구원 jikim@securitya.kr
Page 2: 1. 리다이렉트과 포워드
2. 영향 3. 시연 4. 보안대책(ISMS 통제 항목)
Information Security Management System
Page 3: 1. 리다이렉트와 포워드
리다이렉션(Redirect) : 클라이언트에서 해당 페이지로의 재 요청이 발생 포워딩(Forward) : 서버 단 자체에서 페이지 변경이 발생
Redirect 1.Request 2. Response 3.Response 3. Request 4. Response
Forward
1.Request
2.Request
Information Security Management System
Page 4: 2. 영향(Con’t)
리다이렉션 시나리오
1
공격자는 이메일, 웹사이트를 통해 악성사이트의 주소가 기입된 내용을 작성
발송자: OO세무서 제목: 이의 신청 누락으로 미신청 환급액이 존재합니다. 여기를 클릭하여 이의를 신청하십시오.
3
웹어플리케이션은 일반사용자를 공격자가 입력한 사이트로 리다이렉션합니다.
Knowledge Mgmt
Communication
2
일반사용자는 검증되지 않은 URL주소가 포함된 링크를 클릭합니다.
Custom Code
Evil Site
4
일반사용자 PC는 개인정보 수..
댓글 쓰기
※ 로그인한 후에 댓글을 작성할 수 있습니다.