진짜 개발자
본문 바로가기

Security

보안 - Bypasses Double Encoding Attacks(이중인코딩을 이용한 우회 공격)

728x90

Bypasses Double Encoding Attacks(이중인코딩을 이용한 우회 공격)

- 보안 컨트롤을 우회하거나 응용 프로그램에서 예기치 않은 동작을 일으키기 위해  사용자 요청 매개 변수를 16 진수 형식으로 두 번 인코딩하는 것으로 구성됩니다. 

  웹 서버가 많은 인코딩 된 형식으로 클라이언트 요청을 받아들이고 처리하기 때문에 가능합니다.

이중 인코딩을 사용하면 사용자 입력을 한 번만 디코딩하는 보안 필터를 무시할 수 있습니다두 번째 디코딩 프로세스는 인코딩 된 데이터를 제대로 처리하지만 해당 보안 검사가없는 백엔드 플랫폼에서 실행됩니다.

공격자는 경로 이름이나 쿼리 문자열에 이중 인코딩을 삽입하여 웹 응용 프로그램에서 사용중인 인증 스키마와 보안 필터를 우회 할 수 있습니다.