줌, 코스 및 웹

최근의 주요 줌 취약점은 아이러니하게도 앱 자체가 아닌 웹 기술에서 비롯되었습니다. 이것은 웹 및 기본 앱 구성 요소를 통합하는 복잡성을 강조합니다.

이 문제는 사용자 정의 프로토콜 ( gittower:// 또는 dropbox:// )과 같은 사용자 정의 프로토콜과 기본 앱이 특정 URL을 처리하도록 등록하는 방법을 중심으로 진행됩니다. 앱을 직접 시작하는 데 효과적이지만 사용자 선택은 제공하지 않습니다. 이 선택을 제공하기 위해 개발자는 종종 표준 URL을 대신 사용합니다.

많은 앱은 사용자 컴퓨터의 로컬 호스트 서버를 사용하여 URL 구성표를 통해 통신하여 웹 페이지에서 기본 앱 상호 작용을 달성합니다. 이 접근법은 영리하지만 우려 사항을 제기합니다.

• 사용자는 LocalHost가 실행되는 것을 알지 못할 수 있습니다.
• 외부 웹 사이트가 LocalHost 서버와 통신 할 수있는 능력은 방해가됩니다.

그러나 보호 수단은 주로 CORS (Cross-Origin 자원 공유)가 존재합니다. CORS는 중요한 보안 조치 인 무단 도메인 XHR 요청을 방지합니다. 그것은 브라우저의 동일한 오리핀 정책을 대체하는 것이 아니라 오히려 크로스 오리핀 액세스를 제어하는 ​​메커니즘입니다. 응답에 요청 도메인과 일치하거나 WildCard (*)를 사용하는 Access-Control-Allow-Origin 헤더가 포함되지 않는 한 다른 웹 사이트와 통신하려는 웹 사이트는 실패합니다. 중요한 것은이 제한이 모든 자원에 적용되는 것은 아닙니다. 예를 들어 이미지는 면제됩니다.

Chris Foster에 따르면, CORS의 오해는 줌 취약성의 중심이었습니다. AJAX 요청에 대한 CORS 제한을 우회하기 위해 Zoom은 이미지 기반 해결 방법을 사용했다고 주장합니다. 이는 실수로 상당한 취약점을 만들어서 모든 웹 사이트가 기본 클라이언트 내에서 작업을 트리거하고 해당 응답에 액세스 할 수 있도록했습니다.

Nicolas Bailly의 기사 인 "Cors에 대해 알아야 할 것"은 자주 이해되는 CORS의 특성을 명확하게합니다. 보안 측정 자체가 아니라 동일한 유리 정책을 우회하는 방법, 이는 주요 보안 메커니즘 입니다 .

위 내용은 줌, 코스 및 웹의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!