계: Encapsulation

캡슐화는 강력한 경계를 그리는 것입니다. 웹 브라우저에서는 사용자의 모바일 코드가 다른 모바일 코드에 의해 오용되지 않도록 하는 것을 의미합니다. 서버에서는 검증된 데이터와 검증되지 않은 데이터, 한 사용자의 데이터와 다른 사용자의 데이터, 데이터 사용자가 볼 수 있는 데이터와 볼 수 없는 데이터 간의 차별화를 의미할 수 있습니다.

JavaScript Hijacking: JSONP

C#/VB.NET/ASP.NET
Scala

Abstract

JSONP는 안전하지 않은 통신 기술이므로 개인 정보 또는 민감한 데이터가 포함되지 않고 콜백 함수를 정화하는 경우에만 사용되어야 합니다.

Explanation

JSONP는 설계상 도메인 간 요청을 허용하지만 요청의 출처를 제한하거나 확인하는 메커니즘이 없습니다. 악성 사이트는 사용자를 가장하여 쉽게 JSONP 요청을 수행하고 JSON 응답을 처리할 수 있습니다. 그러므로 PII 또는 민감한 데이터를 전송할 때는 이 통신 기술을 사용하지 않는 것이 좋습니다.
JSONP는 설계상 콜백 함수 이름을 요청 사이트에 반영해야 JSON이 올바르게 처리되기 때문에 XSS 공격을 스스로 야기합니다. JavaScript 삽입을 방지하려면 콜백 함수 이름을 검증하고 정화하는 것이 필수적입니다. 콜백 함수 이름을 정화하려면 가능한 경우 허용 목록을 사용하거나 문자를 영숫자로만 제한하십시오.

References

[1] Standards Mapping - CIS Azure Kubernetes Service Benchmark 1

[2] Standards Mapping - CIS Microsoft Azure Foundations Benchmark partial

[3] Standards Mapping - CIS Amazon Elastic Kubernetes Service Benchmark 2

[4] Standards Mapping - CIS Amazon Web Services Foundations Benchmark 7

[5] Standards Mapping - CIS Google Kubernetes Engine Benchmark integrity

[6] Standards Mapping - Common Weakness Enumeration CWE ID 346

[7] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001167

[8] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

[9] Standards Mapping - NIST Special Publication 800-53 Revision 4 SC-18 Mobile Code (P2)

[10] Standards Mapping - NIST Special Publication 800-53 Revision 5 SC-18 Mobile Code

[11] Standards Mapping - OWASP Top 10 2021 A07 Identification and Authentication Failures

[12] Standards Mapping - OWASP Application Security Verification Standard 4.0 3.5.3 Token-based Session Management (L2 L3), 5.3.6 Output Encoding and Injection Prevention Requirements (L1 L2 L3), 14.5.2 Validate HTTP Request Header Requirements (L1 L2 L3), 14.5.3 Validate HTTP Request Header Requirements (L1 L2 L3)

[13] Standards Mapping - OWASP Mobile 2014 M4 Unintended Data Leakage

[14] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-003300 CAT II

[15] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-003300 CAT II

[16] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-003300 CAT II

[17] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-003300 CAT II

[18] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-003300 CAT II

[19] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-003300 CAT II

[20] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-003300 CAT II

[21] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-003300 CAT II

[22] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-003300 CAT II

[23] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-003300 CAT II

[24] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-003300 CAT II

[25] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-003300 CAT II

[26] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-003300 CAT II

[27] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-003300 CAT II

[28] Standards Mapping - Web Application Security Consortium Version 2.00 Information Leakage (WASC-13)

[29] Standards Mapping - Web Application Security Consortium 24 + 2 Information Leakage

desc.semantic.dotnet.javascript_hijacking_jsonp

Abstract

JSONP는 안전하지 않은 통신 기술이므로 개인 정보 또는 민감한 데이터가 포함되지 않는 경우에만 사용되어야 합니다.

Explanation

JSONP는 설계상 도메인 간 요청을 허용하지만 요청의 출처를 제한하거나 확인하는 메커니즘이 없습니다. 악성 사이트는 사용자를 가장하여 쉽게 JSONP 요청을 수행하고 JSON 응답을 처리할 수 있습니다. 그러므로 PII 또는 민감한 데이터를 전송할 때는 이 통신 기술을 사용하지 않는 것이 좋습니다.