Open redirect

신뢰할 수 없는 URL로 리다이렉트가 가능해 피싱에 악용되는 취약점

분야: 보안/인증 securityvulnerabilityredirect

Open redirect?next=https://evil.example 같은 파라미터로 사용자가 외부 악성 사이트로 리다이렉트되게 만드는 취약점입니다.

흔한 패턴

  • 로그인 후 next 파라미터로 이동
  • OAuth 콜백 처리
  • 링크 추적/리퍼러 처리

방어 방법

  • 허용된 경로(상대 경로)만 받기: /dashboard처럼
  • 도메인 allowlist 적용(정말 필요할 때만)
  • //evil.com 같은 변종도 막기

관련 문서

Brute force
비밀번호/토큰을 무차별 대입으로 맞추려는 공격(로그인/OTP/리셋 링크)
캐싱 (Caching)
계산/조회 결과를 재사용해 지연 시간과 비용을 줄이는 기법
CI/CD
코드 변경을 자동으로 빌드·테스트·배포하는 파이프라인
Code Splitting
코드를 여러 청크로 분리해 필요한 시점에만 로드하는 최적화
Content-Security-Policy (CSP)
XSS를 줄이기 위해 ‘어떤 리소스를 어디서 로드해도 되는지’를 선언하는 보안 정책(HTTP 헤더)
CSRF
인증된 사용자의 권한으로 원치 않는 요청을 보내게 하는 공격