English

◀◁ 뒤로 취약점ID 210149 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 WebSocket 프로토콜은 인증이나 권한 처리가 되어 있지 않다. 따라서 어플리케이션 레벨에서 모든 민감한 정보를 처리하여야 한다. 전달된 정보는 DOM으로 바로 전달하거나 코드로 실행되어서는 안된다. JSON의 응답이라면, eval()을 사용해서는 안되며, 안전한 옵션인 JSON.parse()를 사용하여야 한다. 'ws://' 프로토콜은 종단에서 평문으로 쉽게 전환이 가능하다. 'wss://' (WebSockets over SSL/TLS) 사용은 중간자 공격(Man-In-The-Middle attacks)을 방지 할수 있다. 브라우져 밖에서 클라이언트를 가장할 수 있기 때문에 항상 입력값을 검증하여야 한다. * 참고 사이트: https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet * 영향을 받는 플랫폼: 모든 HTTP 서버 모든 버전 모든 운영체제 모든 버전 해결책 'ws://' 프로토콜 대신에 'wss://' (WebSockets over SSL/TLS)을 사용하여야 한다. 브라우져 밖에서 클라이언트를 가장할 수 있기 때문에 항상 입력값을 검증하여야 한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)