JSON 하이재킹

GET 요청으로 반환되는 JSON 배열이 악성 웹사이트에 의해 하이재킹될 수 있는 취약점을 확인하고 수정하는 방법을 설명합니다.

설명 # JSON 데이터가 하이재킹에 취약할 가능성이 있는지 검사합니다. 이 검사는 JSON 배열을 반환하는 GET 요청을 탐색하며, 악성 웹사이트에 의해 하이재킹되어 데이터가 읽힐 수 있는 잠재적 위험을 식별합니다. 해결 방법 # JSON 하이재킹은 공격자가 악성 웹사이트 또는 유사한 공격 벡터를 통해 GET 요청을 전송하고, 사용자가 저장한 자격 증명을 활용하여 해당 사용자가 접근 가능한 민감하거나 보호된 데이터를 탈취할 수 있게 합니다. JSON 배열 자체가 유효한 JavaScript이기 때문에, JavaScript 배열만을 반환하는 리소스에 대한 악성 GET 요청은 공격자가 악성 스크립트를 사용하여 요청의 배열 내 데이터를 읽을 수 있게 합니다. GET 요청은 리소스에 인증이 필요한 경우에도 JSON 배열을 반환해서는 안 됩니다. 해당 요청에 GET 대신 POST를 사용하거나, 배열을 JSON 객체로 감싸는 방식을 고려하십시오. 링크 # OWASP CWE