본문 바로가기
블로그 이미지

방문해 주셔서 감사합니다! 항상 행복하세요!

  
   - 문의사항은 메일 또는 댓글로 언제든 연락주세요.
   - "해줘","답 내놔" 같은 질문은 답변드리지 않습니다.
   - 메일주소 : lts06069@naver.com


전체 글674

웹 표준 취약점 대비 후기 한국인터넷진훙원(KISA)에서 웹 표준 취약점 28가지 항목에 대해서 정의를 하고있습니다. 이를 대비하기 위한 방법도 구글링을 하다보면 자세히 나와 있습니다. 코드 위험 이름 내용 BO 上 버퍼 오버플로우 DB나 요청에 과도한 길이의 데이터 전송 FS 上 포맷스트링 포맷스트링 취약점 존재 LI 上 LDAP 인젝션 ldap 취약점 존재 OC 上 운영체제 명령실행 커멘드 명령을 입력 후 실행 유도 SI 上 SQL 인젝션 파라미터에 일반 쿼리문을 넣어 실행 유도 SS 上 SSI 인젝션 SSI 인젝션 존재 XI 上 Xpath 인젝션 XML 형태의 데이터 위변조 공격 DI 上 디렉토리 인덱싱 디렉토리 리스트를 보여줌 IL 上 정보누출 NGINX CS 上 악성콘텐츠 실행 가능한 파일 업로드를 통한 공격 XS 上 크.. 2021. 12. 11.
28. 쿠키변조(CC) 쿠키변조 취약점은 보호되지 않은 쿠키를 사용하여 쿠키 인젝션 등과 같은 쿠키 값 변조를 통한 데이터의 위변조가 가능한 취약점을 의미합니다. 사용자정보, 중요정보 등을 쿠키에 담아놓은 경우에 이러한 정보를 해커는 쉽게 탈취할 수 있습니다. #방법1 사용자의 쿠키 정보가 스크립트명령어로 실행하여 탈취되지 않도록 하여야합니다. document.cookie와 같은 자바스크립트로 쿠키를 조회하는 것을 방지하게 위해서 http only 같은 옵션을 부여 하기도 합니다 아래는 톰캣 설정의 샘플 모습 입니다. * 샘플 대상 파일 : web.xml 원하는이름입력 true #방법2 주요 정보를 쿠키를 활용하여 관리하지 않거나 또는 암호화된 값을 쿠키에서 사용하도록 변경 합니다. 가급적이면 주요 정보를 쿠키를 활용하지 않는.. 2021. 12. 10.
27. 데이터 평문전송(SN) 데이터 평문전송 취약점은 웹 어플리케이션 서버와 브라우저(클라이언트)간 통신 시 암호화 하여 전송을 하지 않아 중요 정보 등이 평문으로 전송되는 취약점입니다. 특히 개인 정보, 금융정보 같은 민감한 정보를 암호화하지 않고 평문으로 전송 처리하는 경우에 해커로부터 도청을 통해 정보를 쉽게 탈취 할 수 있기 때문에 중요정보는 반드시 평문으로 전송하지 말아야 겠습니다. #방법1 중요 정보에 대해서는 암호화, 복호화를 통해서 해당 정보를 알 수 없게 합니다. 암복호화의 대표적인 기능으로는 RSA 방식을 들 수 있으며, 단방향인 Sha 256 방식 또한 정보를 암호화하는 데 유용한 방법 입니다. 단방향인 Sha256 방식은 한번 암호화가 된 경우에는 해당 내용을 풀 수 없는 방식이므로 기능구현시 복호화가 필요한 .. 2021. 12. 10.
26. 위치공개(PL) 위치공개 취약점은 예측 가능한 폴더나 파일명을 사용하여 위치가 노출되어 해커가 이를 악용하여 대상에 대한 정보 및 데이터에 접근하는 취약점을 의미 합니다. 개발을 하면서 back, bak 형식의 파일을 만들거나 또는 zip형식의 파일을 배포하는 디렉토리에 그대로 올려 둔 경우에 이를 다운로드 받아서 정보를 가져가는 문제를 의미 합니다. #방법1 디렉토리 인덱싱(DI) 취약점이 먼저 조치가 되어야 합니다. 디렉토리 인덱싱은 해커의 요청으로 부터 요청된 주소 아래의 접근 가능한 파일목록을 볼 수 있는 취약점 입니다. * 조치방법 https://lts0606.tistory.com/542 8. 디렉토리 인덱싱(directory indexing) 디렉토리 인덱싱 취약점은 서버내의 모든 디렉터리 및 파일에 대해 인.. 2021. 12. 10.
리엑트 + 오픈레이어스(React Openlayers) 리엑트에서 오픈레이어스(Openlayers)를 적용하는 방법 입니다. 오픈레이어스(Openlayers)는 지도와 관련된 라이브러리 입니다. 지형정보 서버로부터의 맵 이미지를 받아서 네이버나 구글지도같은 기능을 구현하여 줍니다. 오픈레이어스는 NPM명령어를 통해서 쉽게 설치할 수 있습니다. npm install ol 오픈레이어스는 버전 4 부터 ECMA6문법을 적용한 클래스형태의 구조로 되어 있습니다. 그러므로 오픈레이어스 버전 3이하의 문법을 사용하신 분 이라면 함수명이 비슷 할 지라도 다소 차이가 있겠습니다. 간단하게 맵을 그려보겠습니다. 설치가 완료되고 나면 기본적인 클래스를 import 하여 줍니다. import 'ol/ol.css'; //스타일 import { Map as OlMap, View }.. 2021. 12. 10.
25. 경로 추적(PT) 경로추척 취약점은 웹 어플리케이션 서버의 파일 또는 디렉토리에대한 접근이 제한적이지 않고 허용이 되어 있어 해커로부터 경로가 탈취되어 중요 정보획득 및 변조가 가능한 취약점을 의미 합니다. 웹주소에 아래처럼 특정 상대경로를 계속해서 입력 해 가면서 정보가 탈취할 수 있을때가지 해커가 입력이 가능하면 해당 취약점이 존재한다 볼 수 있습니다. #다운로드 기능이 있는 주소를 상대로 아래처럼 시도를 합니다. #1차 시도 http:127.0.0.1/../../../../../../../../../../../etc/passwd #2차 시도 http:127.0.0.1/../../../../../../../../../../etc/passwd #3차 시도 http:127.0.0.1/../../../../../../../.. 2021. 12. 10.

티스토리툴바