URL 리다이렉션

URL 리다이렉션(URL redirection, URL 넘겨주기)은 이용 가능한 웹 페이지를 하나 이상의 URL 주소로 만들어주는 월드 와이드 웹 기법이다. URL 포워딩(URL forwarding)이라고도 한다. 넘겨받은 URL을 웹 브라우저가 열려고 하면 다른 URL의 문서가 열리게 된다.

이와 비슷한 용어인 도메인 리다이렉션은 URL 도메인에 속하는 모든 페이지가 다른 도메인으로 연결되는 것을 말하며, 이를테면 wikipedia.com과 wikipedia.net은 자동으로 wikipedia.org로 연결되는 것을 들 수 있다.

URL 리다이렉션은 여러 목적이 있다: URL 단축, 웹 페이지가 이동될 때 발생되는 죽은 링크의 예방, 하나의 웹사이트를 가리키는 동일 소유자의 여러 도메인 이름 허용, 웹사이트 안팎으로의 탐색 안내, 개인 정보 보호, 피싱 공격과 같은 덜 무해한 목적.

보안 문제

URL 리다이렉션은 오픈 리다이렉트와 코버트 리다이렉트와 같은 피싱 공격을 하려는 공격자들이 오용할 수 있다.

오픈 리다이렉트(open redirect)는 매개변수를 취한 다음에 아무런 확인 절차 없이 사용자를 해당 매개변수 값으로 넘겨주는 응용 프로그램이다.^[1]

코버트 리다이렉트(covert redirect)는 매개변수를 취한 다음 충분한 확인 절차 없이 사용자를 해당 매개변수 값으로 넘겨주는 응용 프로그램이다.^[2] 2014년 5월, 싱가포르의 난양 이공대학의 수학 박사 과정에 있던 왕징이라는 학생이 밝혀냈다.^[3]

같이 보기

각주

↑ “Open Redirect”. OWASP. 2014년 3월 16일. 2014년 12월 7일에 원본 문서에서 보존된 문서. 2014년 12월 21일에 확인함.
↑ “Covert Redirect”. Tetraph. 2014년 5월 1일. 2016년 3월 10일에 원본 문서에서 보존된 문서. 2014년 12월 21일에 확인함.
↑ “Serious security flaw in OAuth, OpenID discovered”. CNET. 2014년 5월 2일. 2014년 12월 21일에 확인함.

외부 링크

(영어) Mapping URLs to Filesystem Locations Archived 2020년 8월 5일 - 웨이백 머신
(영어) Paper on redirection spam (UC Davis) (403 Forbidden link)
(영어) Security vulnerabilities in URL Redirectors The Web Application Security Consortium Threat Classification

[Open_Redirect-1] “Open Redirect”. OWASP. 2014년 3월 16일. 2014년 12월 7일에 원본 문서에서 보존된 문서. 2014년 12월 21일에 확인함.

[Covert_Redirect-2] “Covert Redirect”. Tetraph. 2014년 5월 1일. 2016년 3월 10일에 원본 문서에서 보존된 문서. 2014년 12월 21일에 확인함.

[CNET-3] “Serious security flaw in OAuth, OpenID discovered”. CNET. 2014년 5월 2일. 2014년 12월 21일에 확인함.

[1]

[2]

[3]