민감한 쿼리 문자열과 함께 GET 요청 메서드 사용 (Authorization 헤더 정보)

GET 요청 URL에 Authorization 헤더 값이 포함되면 자격 증명이 노출될 수 있습니다. POST 요청 또는 헤더를 통해 전송하세요.

설명 # Authorization 헤더 값이 요청 URL에서 감지되었습니다. 이러한 헤더에는 일반적으로 사용자 이름과 비밀번호 또는 JWT 토큰이 포함됩니다. 이러한 값은 GET 요청으로 전송되어서는 안 됩니다. 프록시 시스템에 의해 캡처되거나, 브라우저 히스토리에 저장되거나, 로그 파일에 저장될 수 있기 때문입니다. 공격자가 이러한 로그 또는 로깅 시스템에 접근하게 되면 대상 계정에 접근할 수 있게 됩니다. 해결 방법 # Authorization 헤더 정보는 GET 요청으로 절대 전송되어서는 안 됩니다. JWT 토큰과 같은 민감한 정보를 전송할 때는 항상 POST 요청 또는 헤더를 사용하여 민감한 데이터를 전송하십시오. 세부 정보 # ID 집계 CWE 유형 위험도 598.3 true 598 Passive Medium 링크 # OWASP CWE