웹 취약점 분류

웹 취약점 종류 및 원인에 대한 이해 , 취약점별 공격로그의 이해 , 취약점별 대책(코딩 및 설정)에 대해 알아보자.

취약점 분류

국내외적으로 많이 알려져있는 취약점은 OWASP 10이 있다.

(www.owasp.org 참고)
웹 취약점을 10가지 형태로 분류하고 정의하며 , 웹 보안에 관심있는 기업 및 개인이 함께 공통된 프로젝트등을 진행한다.

owasp 등과 같은곳에서 얻을수 있는 정보의 취약점들을 정리해보자.

구분	점검 항목	설명
1	SQL Injection	로그인 폼 및 변수 값에 SQL 쿼리를 삽입하여 로그인 우회 및 DB를 변조하는 공격
2	XSS (Cross Site Scripting)	게시판 및 URL 파라미터에 스크립트를 삽입하여 해당 글 혹은 링크를 클릭하는 사용자의 정보를 취득하는 공격
3	파일 업로드	ASP,PHP,JSP와 같이 파일을 업로드하여 시스템 권한을 획득하는 공격
4	파일 다운로드	파일 다운로드 처리 파라미터를 조작하여 시스템에 접근하는 공격
5	디렉토리 리스팅	특정 디렉토리를 요청할 때 파일 목록이 보여지는 공격
6	관리자 페이지 노출	master.jsp , admin.php 등 관리자 페이지 노출 및 관리자 페이지에 대한 추가 취약점으로 인한 권한 획득 공격
7	쿠키 변조	쿠키 내 권한 관련 값 변조 및 도용 공격
8	URL 파라미터 변조	파라미터 변조를 통해 정상적인 절차( 관리자 글 작성 제한 등)를 우회하는 공격
9	사용자 측 스크립트 변조	자바스크립트 및 히든필드 변조를 통해 인증 권한을 도용하는 행위
10	에러 페이지 노출	시스템 에러를 통해 시스템 정보를 획득하는 공격
11	중요 정보 노출	페이지 및 파일 내에 중요 정보( 주민등록번호 등 )가 포함되는 경우
12	백업 파일 노출	백업 파일 노출로 인해 시스템 로직을 파악하는 공격
13	기본 설치 페이지 노출	웹 서버 기본 페이지 등의 노출
14	HTTP Method 정보 노출	PUT,DELETE 메소드를 악용하여 파일 생성 및 삭제등의 공격