Node.js url.parse() 취약점 컨트리뷰션

Node.js의 url.parse()는 국제 표준 WHATWG URL API 스펙이 아닌, 자체 스펙으로 개발된 함수입니다. 이 때문에 hostname을 잘못된 방식으로 파싱 하여 Hostname Spoofing 취약점이 발생하였는데요. Hostname Spoofing 이란 시스템을 대상으로 Hostname을 속이는 해킹 기법을 말합니다. 토스 보안 기술팀에서는 이런 취약점을 발견하여 Node.js 측에 취약점을 제보했고, 컨트리뷰션을 진행하여 해당 Pull Request는 v19.1.0에서 적용되어 패치되었다고 합니다. 자세한 내용이 궁금하신 분은 링크를 참조하시는 걸 추천드립니다. https://toss.tech/article/nodejs-security-contribution