secure_world

1. 프로세스 검증 누락 2. 인증과 인가 3. 불충분한 인증 4. 불충분한 인가 ※ 개인적인 공부를 위해 작성하였습니다. 이 글을 참고하여 허가되지 않은 곳에 사용하지 마시고 법 적인 문제가 생길 시 책임지지 않습니다. ※ 잘못된 정보가 있을 경우에는 댓글 혹은 방명록을 통해서 알려주시면 바로 수정하도록 하겠습니다! 1. 프로세스 검증 누락 - 프로세스 검증 누락은 중요 웹 페이지 기능에서 클라이언트 측 검증이 미흡하여 비인가자가 비 정상적인 방법으로 접근이 가능할 때 생기는 취약점을 말함 - 사용자가 사용하지 않거나 입력했던 값들이 서버에서 저장이 되어야 하지만, 서버에서 값을 저장하지 않아 검증하지 않을 때 프로세스 검증 누락을 의심할 수 있음 (ex. 회원 가입시 프로세스 누락으로 중복 가입이 가..

1. 파일 업로드 2. 파일 다운로드 ※ 개인적인 공부를 위해 작성하였습니다. 이 글을 참고하여 허가되지 않은 곳에 사용하지 마시고 법 적인 문제가 생길 시 책임지지 않습니다. ※ 잘못된 정보가 있을 경우에는 댓글 혹은 방명록을 통해서 알려주시면 바로 수정하도록 하겠습니다! 1. 파일 업로드(File Upload) 1. 파일 업로드 취약점이란? - 파일 업로드 취약점이란 웹 사이트의 파일 업로드 기능을 이용하여 인가 받지 않은 파일(ex. .jsp, .php, .asp 등)을 서버에 임의로 업로드하여 업로드한 파일을 통해 공격을 통해 공격을 실행할 수 있는 취약점을 말함 - 웹 쉘 형태의 파일을 업로드하고 실행하게 되면 서버의 자원을 장악하고 서비스를 실행하는 서버의 권한을 취득하는 것이 가능해짐 2. ..

1. XSS(Cross-Site-Scripting) 2. CSRF(Cross-Site-Request-Forgery) 3. SSRF(Server-Side-Request-Forgery) ※ 개인적인 공부를 위해 작성하였습니다. 이 글을 참고하여 허가되지 않은 곳에 사용하지 마시고 법 적인 문제가 생길 시 책임지지 않습니다. ※ 잘못된 정보가 있을 경우에는 댓글 혹은 방명록을 통해서 알려주시면 바로 수정하도록 하겠습니다! 1. XSS(Cross-Site-Scripting) 1.1. XSS(Cross-Site-Scripting)이란? - 웹 어플리케이션에서 일어나는 취약점의 종류 중 하나로, 권한이 없는 사용자가 웹 사이트에 스크립트를 삽입하여 공격하는 기법을 말함 - 대부분 글을 쓰고 읽을 수 있는 게시판에서..

1. SQL? 2. SQL Injection? 3. SQL Injection의 종류 4. SQLMAP 5. 대응 방안 ※ 개인적인 공부를 위해 작성하였습니다. 이 글을 참고하여 허가되지 않은 곳에 사용하지 마시고 법 적인 문제가 생길 시 책임지지 않습니다. 1. SQL? - SQL(Structured Query Language, 구조화 질의 언어)이란 RDBMS(Relation DBMS, 관계형 DBMS)의 데이터를 관리하기 위해 설계된 특수 목적 프로그래밍 언어를 말함 - SQL구문을 이용하여 서버에 요청을 전송하게 되면 서버에서 SQL구문을 통해 요청 내용을 수행 및 클라이언트에 전송하며 통신할 수 있음 - 명령어의 종류는 다음과 같음 1. DDL(Data Definition Language, 데이터..

1. OWASP 란? 2. OWASP TOP 10 3. 순위 별 설명 1. OWASP 란? - OWASP(Open Web Application Security Project)는 취약점에 대해 연구를 통해 영향력 있는 취약점을 선정하고 발표하는 단체 2. OWASP TOP 10 - 취약점 연구를 통해 다양한 취약점으로부터 악용 가능성, 탐지 가능성 및 영향력과 빈도수를 고려해 보안상 크게 영향을 끼치는 10가지 취약점을 나타내며, 3~4년에 한번 씩 정기적 업데이트를 진행함 3. 순위 별 설명 3.1. A01 : Broken Access Control (접근 권한 취약점) - 액세스 제어는 사용자가 권한을 벗어난 행동을 할 수 없도록 정책을 수행하는데, 취약점이 생긴다면 주어진 권한을 벗어나 모든 데이터를..