Python urllib HTTP 헤더 인젝션 취약점 Python의 urllib라이브러리(Python2에서는 urllib2，Python3에서는 urllib)에는 HTTP 스키마에 프로토콜 스트림 인젝션 취약점이 존재합니다. 만약 공격자가 Python 코드를 조작하여 임의의 URL 혹은 Python 코드를 통해 악의적인 webserver에 방문하도록 한다면, 내부망은 심각한 보안위협을 받을 수 있습니다. HTTP 프로토콜은 호스트를 처리할 때 인코딩된 퍼센티지 값으로 받아들인 뒤 디코딩 후 HTTP 데이터 스트림에 포함시킵니다. 하지만 추가적인 검증이나 인코딩을 하지 않기 때문에, 새로운 라인을 추가할 수 있습니다. #!/usr/bin/env python3 import sysimport urllibimpo..

국내외 보안동향 2016. 6. 21. 10:46