본문 바로가기

Hacking & Security/Web

(15)

운영체제 명령 실행 취약점 진단 웹 어플리케이션 취약점 1. 운영체제 명령 실행 ( OS Command Injection ) 1-1) 개요 웹 어플리케이션에서는 이전에 pwnable 분야를 공부할때 쉘을 얻기 위하여 주로 이용하였던 system() , exec() 등과 같은 시스템 명령어를 실행시킬 수 있는 함수를 제공하며 사용자 입력 값에 대한 필터링이 제대로 이루어지지 않을 경우 공격자가 운영체제 시스템 명령어를 호출하여 백도어 설치나 관리자 권한 탈취 등 시스템 보안에 심각한 영향을 미칠 수 있는 취약점이다. OS command Injection은 웹 서버에 OS 명령을 실행하기 위해 웹 인터페이스를 사용한다. 사용자는 웹 인터페이스를 통해 OS 명령을 실행하기 위하여 운영체제 명령어를 입력한다 , 만일 이 명령어가 제대로 필터링..

웹 취약점 진단제거 가이드 1. 개요 우리나라를 비롯한 여러 국가에서는 IT 신기술을 활용해 대부분의 서비스를 인터넷을 통하여 제공하고 있으며 정보 시스템 개발 시 필요한 기능들을 미리 구현해 둔 소프트웨어 표준 ( 프레임워크 )이 민간기업으로 빠르게 확산되었으며 앞으로도 인터넷을 활용한 서비스는 더욱더 확대될 것이다. 그러나 이러한 인터넷을 활용한 서비스를 확대하는데 있어서 보안 취약점 또는 해킹 공격은 커다란 걸림돌이며 , 취약점을 잘 알며 악의적 목적을 가지고 접근하는 블랙햇 해커로부터 우리 나라를 비롯한 여러 국가의 정보 시스템이 자유로울 수 없다. 본 블로그 게시글은 KISA( 한국인터넷진흥원 ) 의 가이드를 바탕으로 참고하여 글을 작성하며 목적은 가이드를 공부하며 웹에 존재하는 보안 취약점들에 대한 안정성 및 신뢰성 확..

SQL Injection SQL Injection에 대해 알아보기 위해서는 DB를 이해해야 한다. 데이터 : 현실 세계에서 존재하는 여러가지 정보ex) 친구 이름 , 주소 ..etc 데이터베이스 : 데이터를 효율적으로 관리하기 위해 분리한 정보데이터베이스는 테이블로 이루어져있고 테이블은 필드로 이루어져있다. DLL 언어 : 데이터베이스의 테이블을 정의하고 작성 ( create(생성) , alter(변경) , drop(삭제) ) DML 언어 : 데이터베이스를 추가, 갱신, 삭제 및 검색 수행 ( select , insert , update , delete ) DCL 언어 : 데이터베이스의 보안과 데이터의 연속성을 유지 ( grant(권한할당) , revoke(권한제거) , commit(데이터 변경 승인 ) , rollback(데이..

웹 취약점 분류 웹 취약점 종류 및 원인에 대한 이해 , 취약점별 공격로그의 이해 , 취약점별 대책(코딩 및 설정)에 대해 알아보자. 취약점 분류국내외적으로 많이 알려져있는 취약점은 OWASP 10이 있다.(www.owasp.org 참고) 웹 취약점을 10가지 형태로 분류하고 정의하며 , 웹 보안에 관심있는 기업 및 개인이 함께 공통된 프로젝트등을 진행한다. owasp 등과 같은곳에서 얻을수 있는 정보의 취약점들을 정리해보자. 구분 점검 항목 설명 1 SQL Injection 로그인 폼 및 변수 값에 SQL 쿼리를 삽입하여 로그인 우회 및 DB를 변조하는 공격 2 XSS (Cross Site Scripting) 게시판 및 URL 파라미터에 스크립트를 삽입하여 해당 글 혹은 링크를 클릭하는 사용자의 정보를 취득하는 공격 ..

HTTP Request ~ HTTP Response 앞서 간략히 소개한 HTTP Response & Request에 대해 상세히 알아보자. HTTP Request 웹 브라우저 -------- HTTP Request(요청) -----------> 웹 서버 웹 브라우저 웹 서버

웹 기초 지식 2 인코딩 - 정보의 형태나 형식을 표준화 , 보안 , 처리속도 향사 , 저장 공간 절약 등을 위해서 다른 형태나 형식으로 변환하는 처리 혹은 처리 방식 즉 , 컴퓨터가 이해할 수 있는 형식으로 바꾸어주는 것을 의미 1)ASCII 인코딩- 영문자를 컴퓨터가 해석할 수 있는 숫자로 변환 시켜준다.1byte(8bit) 중 7bit를 이용하여 표현하므로 총 127개의 문자 표현 가능.ASCII코드표는 검색하여 쉽게 찾아볼 수 있다. 2) URL 인코딩- ASCII코드에 없는 영어를 제외한 외국어와 ASCII 코드에서 표현하지 않는 특수문자를 표현하기 위해 사용.- URL인코딩의 특징으로는 코드의 앞에 %문자가 포함된다. 종류 URL 코드 특징 ? %3F 인자(파라미터)를 넘겨줄때 사용 & %26 각각의 인자를 구..

웹 기초 지식 1. WWW - World Wide Web의 약자로 세계규모의 거미집 또는 거미줄 이라는 뜻으로 , 인터넷상의 분산되어 있는 정보들이 연결되어 제공되는 인터넷 서비를 의미한다. - 줄여서 웹(Web) 이라고 칭한다. - WWW는 URL , HTTP , HTML의 구성요소로 이루어져 있다. 2. URL - Uniform Resource Locator 의 약어로 네트워크 상의 자원의 위치를 나타낸다. - Client , Web Server , Web Application , DataBase로 구성되어 있다. ex) http://sports.news.naver.com/sports/index.nhn?category=worldfootball 1 2 3 4 1) Client : 사용중인 프로토콜의 정보이다. 웹 서..

이전 1 2 다음

티스토리툴바