TIL - 20241123

도메인 주소 검증 로직에서 주의해야 할 점

만약 특정 주소를 입력했을 때의 도메인의 주소를 블랙리스트 혹은 화이트리스트 방식으로 관리한다면 주의해야 할 점이다.

먼저 도메인에 특정 문자열이 포함되는지 여부로 해서 허용을 한다면 fully matched 방식으로 체크해야 한다.
예를 들어 "humit.tistory"라는 문자열이 포함되어 있는지 여부로 체크해서 포함되는 경우에만 허용한다면, 공격자가 "humit.tistory.victim.com" 으로 해서 우회할 수 있는 위험이 있다.

그리고 도메인 주소의 경우 대소문자를 구분하지 않느다는 특징이 있다. 즉 HUMIT.TisTOry.CoM 으로 접속하더라도 humit.tistory.com으로 접속하는 것과 동일하다.
그래서 허용하지 않을 도메인주소를 블랙리스트로 관리한다면 공격자는 대소문자를 섞어서 공격할 수 있다.
이를 어느 정도 해결하려면 입력된 도메인 주소를 소문자로 변경하고 이를 비교하는 식으로 작성하는 것이 좋다.