web (13) 썸네일형 리스트형 Web 기본 지식 웹이란 무엇인가? 웹 해킹을 포함한 다양한 분야에서의 해킹은 본래의 의도와는 다른 행위를 발생시키는 것을 의미한다. 이러한 의도치 않은 행위를 발생시키기 위해서는 설계 또는 운영의 약점을 찾을 수 있어야 한다. 물론 이를 위해서는 해당 시스템에 대한 설게자 또는 운영자보다 더 높은 이해도를 가지고 있어야 한다. 인터넷상의 서비스 중 HTTP를 이용하여 정보를 공유하는 통신 서비스를 웹, 서비스를 제공하는 대상을 웹 서버, 서비스를 받는 사용자를 웹 클라이언트 라고 부른다. 초기 웹은 저장된 문서의 내용을 출력해 사용자에게 제공하는 간단한 서비스였다. 이것이 시간이 지남에 따라 발전하고 적응하며 사용자의 입력과 입력에 따른 기능 수행이 추가되고 업무, 금융, 쇼핑 등 다양한 분야에서 사용할 수 있도록 발전.. 웹 취약점 점검기준 - Broken Access Control 웹 취약점 점검기준 - 3 A4 - Broken Access Control A4, Broken Access control과 관련된 취약점들은 다음과 같다. 유형 설명 파일 다운로드 파라미터 변조를 통해 시스템파일 및 소스코드에 접근하는 것을 의미한다. 파일 업로드 실행 가능한 파일 업로드를 통해 시스템권한을 획득하는 것을 의미한다. URL 파라미터 조작 게시판에서 사용되는 파라미터 조작을 통해 타인의 글을 위/변조하는 것을 의미한다. 자바스크립트 우회 자바스크립트로 구성한 접근제한 메커니즘을 우회하는 것을 의미한다. 1. 파일 다운로드 파라미터를 조작(상위 디렉터리 요청)하여 시스템 관련 파일등에 접근하여 해당 파일을 다운로드하는 공격기법을 의미한다. 이를 위해서 운영체제별 상위 디렉터리를 요청하는 패턴.. 웹 취약점 점검기준 - Broken Authentication and Session Management 웹 취약점 점검기준 - 2 A2 - Broken Authentication and Session Management 인증 및 세션관리 취약점 유형으로는 다음과 같은 것들이 대표적인 예시이다. 유형 설명 쿠키 변조 쿠키값을 변조하여 타사용자로 로그인 시도 세션 쿠키 타임아웃 사용자세션 타임아웃 미지정시 사용자의 미활동에도 불구하고 공격자가 해당 PC를 사용할 수 있음. 다중세션 사용 여러대의 PC 혹은 브라우저에서 동일 계정과 암호로 로그인이 되는 것 또한 취약점으로 간주할 수 있다. 이는 공격자가 현재 로그인된 사용자의 자격 정보(쿠키..etc)를 가로채어 로그인 할 수 있는 위협이 존재하기 때문이다. 쿠키 변조 쿠키 변조는 사용자의 쿠키를 가로채어 사용자의 계정 없이도 권한을 획득할 수 있는 기법이며,.. 웹 취약점 점검기준 - Injection 웹 취약점 점검기준 - 1 이번에는 웹 취약점을 실제로 분석하기 위해 반드시 알고 있어야 할 점검 기준 및 사례를 공부한다. 우선 OWASP Top 10 2017 항목의 주요 포인트에 대해 살펴보도록 한다. A1 - Injection Injection에 관련된 취약점 유형은 다음과 같다. 유형 설명 SQL Injection 쿼리 등에 SQL 쿼리를 삽입하여 DB 조회,변조 및 삭제 등의 공격을 의미한다. CRLF Injection CRLF(%0d%0a) 패턴 삽입을 통한 악의적 공격을 의미한다. Command Injection 쿼리 등에 운영체제 명령어를 삽입하여, 명령어 실해애 및 시스템 권한 획득 공격을 의미한다. 1. SQL Injection 1) Error based SQL Injection GE.. 소스코드 점검기준 & 취약점 - 1 소스코드 점검기준 & 취약점 - 1 웹 취약점 및 시큐어코딩의 점검기준은 보안관련 기관에서 제공되는 정보를 바탕으로 국내의 환경에 따라 재정의하여 사용되고 있다. 국내의 경우, CWE에서 제공되는 점검기준 일부를 발췌하여 소프트웨어 보안약점 47개로 재활용되고 있다. 항목 보안 약점 개수 입력 데이터 검증 및 표현 프로그램 입력 값에 대한 부적절한 검증 등으로 인해 발생할 수 있는 보얀약점 15 보안 기능 인증, 접근제어, 권한 관리 등을 부적절하게 구현할 경우 발생할 수 있는 보안약점 16 시간 및 상태 멀티 프로세스 동작환경에서 부적절한 시간 및 상태관리로 발생할 수 있는 보안약점 2 에러 처리 불충분한 에러 처리로 중요 정가 에러 정보에 포함되어 발생할 수 있는 보안약점 3 코드 오류 개발자가 범할.. Web Browser Forensics Web Browser Forensics 정의 디지털 포렌식 기법을 적용하여 용의자의 컴퓨터 및 다양한 ICT 기기에 저장되는 웹 브라우저 사용 흔적을 조사하는 행위 웹 브라우저가 남기는 로그파일을 분석 ex) Cache, History, Cookie, Download List...etc 이는 모든 브라우저에서 공통적으로 남기는 로그이다. 다만, 쿠키와 다운로드 리스트는 페이지에 따라서, 사용자 행동에 따라서 남을수도 안남을수도 있다. 필요성 아무리 사소한 정보라도 인터넷을 이용해서 획득이 가능하다. 사건과 관련된 내용이 웹 브라우저 로그 파일에 남을 가능성은 매우 높다. 상황에 따라 범행동기, 목적, 수단, 방법, 사후처리 등의 많은 정보를 획득할 수 있음. 실제로 Web Browser forensics.. 운영체제 명령 실행 취약점 진단 웹 어플리케이션 취약점 1. 운영체제 명령 실행 ( OS Command Injection ) 1-1) 개요 웹 어플리케이션에서는 이전에 pwnable 분야를 공부할때 쉘을 얻기 위하여 주로 이용하였던 system() , exec() 등과 같은 시스템 명령어를 실행시킬 수 있는 함수를 제공하며 사용자 입력 값에 대한 필터링이 제대로 이루어지지 않을 경우 공격자가 운영체제 시스템 명령어를 호출하여 백도어 설치나 관리자 권한 탈취 등 시스템 보안에 심각한 영향을 미칠 수 있는 취약점이다. OS command Injection은 웹 서버에 OS 명령을 실행하기 위해 웹 인터페이스를 사용한다. 사용자는 웹 인터페이스를 통해 OS 명령을 실행하기 위하여 운영체제 명령어를 입력한다 , 만일 이 명령어가 제대로 필터링.. 웹 취약점 진단제거 가이드 1. 개요 우리나라를 비롯한 여러 국가에서는 IT 신기술을 활용해 대부분의 서비스를 인터넷을 통하여 제공하고 있으며 정보 시스템 개발 시 필요한 기능들을 미리 구현해 둔 소프트웨어 표준 ( 프레임워크 )이 민간기업으로 빠르게 확산되었으며 앞으로도 인터넷을 활용한 서비스는 더욱더 확대될 것이다. 그러나 이러한 인터넷을 활용한 서비스를 확대하는데 있어서 보안 취약점 또는 해킹 공격은 커다란 걸림돌이며 , 취약점을 잘 알며 악의적 목적을 가지고 접근하는 블랙햇 해커로부터 우리 나라를 비롯한 여러 국가의 정보 시스템이 자유로울 수 없다. 본 블로그 게시글은 KISA( 한국인터넷진흥원 ) 의 가이드를 바탕으로 참고하여 글을 작성하며 목적은 가이드를 공부하며 웹에 존재하는 보안 취약점들에 대한 안정성 및 신뢰성 확.. 이전 1 2 다음
