Open Redirect (번외로 Docker)

개념

• 사용자로부터 입력되는 값을 외부 사이트의 주소로 사용하여 자동으로 연결하는 서버 프로그램은 피싱 공격에 노출
• Redirect될 대상 URL을 사용자가 직접 조작할 수 있고 조작된 URL로 Direct가 수행될 때 발생하는 클라이언트 측 웹 취약점
• 본인이 웹 브라우저에서 요청한 URL과 다른 URL을 방문하게

동작 원리

• HTTP 기반 리다이렉트
  • 서버가 이동할 대상 URL이 지정된 Location 응답 헤더를 웹 브라우저로 보내서 리다이렉트 시키는 방법
  • HTTP기반 리다이렉트는 리다이렉트 기법 중 최상위 우선순위로 동작, 사용자 웹 브라우저의 자바스크립트 실행 여부에 영향을 받지 않고 항상 리다이렉트

• 사용자로부터 받은 데이터를 안전하지 않은 방식으로 이동할 URL로 사용하는 경우 Open Redirect 취약점 발생
• <meta> 태그와 http-equiv 속성을 이용하면 HTML만으로 리다이렉트 가능

• 자바스크립트 기반 리다이렉트
  • 자바스크립트의 window.location 객체를 이용하여 리다이렉트하는 방법
  • 하지만 자바스크립트를 실행하지 않는 웹 브라우저에서는 동작X

Docker

개념

• Docker는 프로세스 격리기술을 사용하여 리눅스 컨테이너에 리눅스 어플리케이션을 사용하여 더 쉽게 컨테이너로 실행하고 관리할 수 있게 해주는 오픈소스 프로젝트이다.
• Docker Engine은 컨테이너를 생성하고 관리하는 주체로서 컨테이너를 제어할 수 있고, 다양한 기능을 제공하는 도커의 프로젝트이다. 따라서 여러 프로젝트들을 도커 엔진을 좀 더 효율적으로 사용하기 위한 것 이므로 도커의 핵심임.

가상 머신과 도커의 차이?

• 가상 머신은 Host OS 위에 각각의 Guest OS를 각각 하나하나 설치하는 형태로 OS를 각각 설치한다는 것 만으로도 용량이 크다.
• 도커는 OS를 따로 설치할 필요 없이 OS와 서비스 환경을 분리하여 OS 위에 Docker Engine을 설치하여 각각의 서비스 환경을 설치/운영하는 형태이다.