애플리케이션 보안5 애플리케이션 보안 [다섯 번째 정리] 안녕하세요 ! 이번 시간은 애플리케이션 보안 다섯 번째 정리를 하도록 하겠습니다. 먼저 SQL 인젝션에 대해서 알아보도록 하겠습니다. SQL 인제션은 악의적인 사용자가 애플리케이션의 입력 폼 등을 통해서 SQL 쿼리를 조작하여 데이터베이스에 대한 공격을 수행하는 방법입니다. 이것은 보안 취약점을 이용해서 공격자가 데이터베이스에 무단으로 접근하거나 데이터를 변경하거나 삭제하는 등의 악의적인 작업을 수행할 수 있게 됩니다. SQL 인젝션 공격은 일반적으로 사용자의 입력 데이터를 쿼리에 직접 삽입하는 상황에서 발생합니다. 예를 들어서, 사용자의 아이디와 패스워드를 검증하는 로그인 폼에서 입력값을 직접 SQL 쿼리에 넣는다면, 공격자는 입력 폼에 SQL 쿼리를 삽입하여서 로그인을 우회하거나 데이터베이스를 공격할.. 2024. 4. 18. 애플리케이션 보안 [두 번째 정리] 안녕하세요 첫 번째 시간에 이어서 애플리케이션 보안 두 번째 정리를 시작하도록 하겠습니다. 웹 스캔 도구 활용 1. 버전 정보 노출 여부 확인 2. 크롤링 작업 - 디렉터리 구조 파악 3. 무작위 대입 공격 - 불필요한 파일 존재 여부, 접근 제어 미흡 디렉터리 등 ex ) Nikto, OWASP ZAP, dirb 웹 스캔 도구 활용을 하기 위해 먼저 실습 환경을 구성하도록 합니다. 칼리 리눅스 ifconfig 로 IP 주소를 확인합니다. 빕 박스에서도 IP 주소를 확인합니다. NMAP 을 통해서 열려있는 포트를 확인할 수 있습니다. 또는, dirb 로 디렉토리 구조를 점검할 수 있습니다. 장점은 속도가 너무 빠르다는 것 입니다. wordlists 파일 /usr/share/dirb/wordlists/co.. 2024. 3. 23. 애플리케이션 보안 [네 번째 정리] 안녕하세요 ! 오늘은 애플리케이션 보안 네 번째 정리를 하도록 하겠습니다. 애플리케이션 보안 공격 패턴들을 만들어 갈 것인지 스크립트 동작 여부를 판단하기 위함 ! 먼저 document.cookie 는 자바스크립트에서 사용되는 객체로 웹 브라우저에서 쿠키를 생성, 수정 또는 삭제할 수 있게 해줍니다. 쿠키는 웹 서버와 클라이언트 간의 정보 교환을 위해 사용됩니다. 주로 사용자 인증, 세션 관리, 사용자 설정 등을 유지하기 위해 이용됩니다. document.cookie 는 문자열 형식으로 쿠키 정보를 저장하며, 각 쿠키는 이름과 값의 쌍으로 구성됩니다. 또한, 쿠키는 만료 날짜 및 경로, 도메인 정보 등의 다양한 옵션을 가질 수 있습니다. bxss hunter 사이트에 들어갑니다. 그리고 페이로드에 들어가.. 2024. 3. 19. 애플리케이션 보안 [세 번째 정리] 안녕하세요 ! 이번 시간은 애플리케이션 보안 세 번째 시간에 대해 정리하도록 하겠습니다. OWASP TOP 10 기준 - 톰캣 취약점 : 접근제어 미흡, 기본 계정이 존재한다. - webdav 취약점 : 보안 설정 미흡하다. 1. 인증 처리 미흡 - 관리자 권한 획득 할 수 있는 것. 관리자 페이지가 있어요 ! - > 10페이지 ? -> 권한 부여 ?! 관리자에서 사용하는 특정 파라미터 값 조작 / 쿠키 값 조작 ?! - 회원가입 단계에서 주민번호, 중요정보 우회 ?! - 다른 사용자의 게시물, 정보 조회/ 수정 ?! 멀티팩터 - 멀티채널인증 ! 2. 중요 정보 포함 여부 ! - 클라이언트 스크립트에서 중요 정보 ( HTML, JAVASCRIPT ) value - "" 파라미터 값 ! ~ 개발 서버 ->.. 2024. 3. 19. 이전 1 2 다음
