본문 바로가기
블로그 이미지

방문해 주셔서 감사합니다! 항상 행복하세요!

  
   - 문의사항은 메일 또는 댓글로 언제든 연락주세요.
   - "해줘","답 내놔" 같은 질문은 답변드리지 않습니다.
   - 메일주소 : lts06069@naver.com


표준취약점5

웹 표준 취약점 대비 후기 한국인터넷진훙원(KISA)에서 웹 표준 취약점 28가지 항목에 대해서 정의를 하고있습니다. 이를 대비하기 위한 방법도 구글링을 하다보면 자세히 나와 있습니다. 코드 위험 이름 내용 BO 上 버퍼 오버플로우 DB나 요청에 과도한 길이의 데이터 전송 FS 上 포맷스트링 포맷스트링 취약점 존재 LI 上 LDAP 인젝션 ldap 취약점 존재 OC 上 운영체제 명령실행 커멘드 명령을 입력 후 실행 유도 SI 上 SQL 인젝션 파라미터에 일반 쿼리문을 넣어 실행 유도 SS 上 SSI 인젝션 SSI 인젝션 존재 XI 上 Xpath 인젝션 XML 형태의 데이터 위변조 공격 DI 上 디렉토리 인덱싱 디렉토리 리스트를 보여줌 IL 上 정보누출 NGINX CS 上 악성콘텐츠 실행 가능한 파일 업로드를 통한 공격 XS 上 크.. 2021. 12. 11.
23. 파일 다운로드(FD) 파일 다운로드 취약점은 해커가 허용된 경로 외 다른 경로의 파일을 열람하거나 다운받는 취약점을 의미 합니다. 일반적인 이미지나 텍스트 파일 같은경우에는 사실 크게 문제가 되지 않습니다만 사용자가 권한과 인증을통해서 올린 파일이나 또는 서버 내부의 시스템 설정과 관련된 파일을 받게 된 다면 이를 악용 할 수 있기 때문에 반드시 조치가 되어야 합니다. #방법1 파일 다운로드 기능을 구현 할 때는 사용자의 요청을 파일이름 또는 경로를 받게 해서는 안됩니다. 고유 인덱스 번호를 통해서 스트림 형식으로 파일을 반환하는 방법을 사용해야 합니다. 아래 처럼 파일을 받게 해 준 다면 해커는 쉽게 원하는 파일을 받을수가 있습니다. #이러한 파일요청 방식이 존재한다고 가정하여 봅니다. https:127.0.0.1/boar.. 2021. 12. 10.
22. 약한 문자열 강도(BF) 약한 문자열 강도 취약점은 사용자의 이름이나 비밀번호 또는 신용카드 정보 및 암호화 값 등을 자동으로 대입하여 여러 시행착오 후에 맞는 값을 확인하는 취약점 입니다. 이러한 취약점은 해커가 인증 값에 단순 조합의 값을 삽입하여 정상적인 인증을 취득하는 행위를 통하여 이루어 집니다. 표준 취약점 취약한 패스워드 복구(PR)과 같은 맥락의 조치가 필요합니다. https://lts0606.tistory.com/548 13. 취약한 패스워드 복구(PR) 취약한 패스워드 복구 취약점은 패스워드 찾기 같은 프로세스로 인해 공격자가 불법적으로 다른 사용자의 패스워드를 획득, 변경할 가능성이 있는 취약점 입니다. 해커가 취약점 찾기를 메일, lts0606.tistory.com 아래는 간략하게 정리한 내용 입니다. #방.. 2021. 12. 9.
18. 세션고정(SF) 세션 고정 취약점은 사용자 로그인 시 항상 일정하게 고정된 세션ID가 발급되는 경우 해커의 세션 ID 탈취로부터 비인가자의 접근 및 권한 우회가 가능한 취약점을 의미 합니다. #방법1 세션 생성과 관련된 설정은 각각의 어플리케이션 서버에서 동작하게 되어 있습니다. 또한 로그아웃이나 브라우저의 종료 행위에 따라서 세션을 clear하거나 remove를 해 준다면 세션 아이디 값을 초기화 할 수 있습니다. 아래 샘플코드처럼 사용자의 접속 종료 행위에 대해서는 세션내용을 제거 해 주도록 합니다. public static void removeSessions(HttpSession session) { Enumeration names= session.getAttributeNames(); while(names.hasMo.. 2021. 12. 8.
13. 취약한 패스워드 복구(PR) 취약한 패스워드 복구 취약점은 패스워드 찾기 같은 프로세스로 인해 공격자가 불법적으로 다른 사용자의 패스워드를 획득, 변경할 가능성이 있는 취약점 입니다. 해커가 취약점 찾기를 메일, 문자 등 다른 인증을 요구하지 않고 사용자 화면에서 바로 표출하는 경우에 이에 쉽게 접근하여 사용자의 비밀번호를 확인 할 수 있기 때문입니다. #방법1 이를 대비하기 위해서는 사용자의 비밀번호를 문자 및 특수문자를 입력받게 하여 위변조가 어렵게 하는 것 입니다. 브라우저인 Javascript에서 사용자 비밀번호 입력 시 해당 유효성을 검증하게 합니다. https://lts0606.tistory.com/547 #방법2 서버에서 비밀번호을 입력받을 때 특수문자가 있는지, 단순한 패턴으로 입력받았는지 한번 더 검증하게 합니다. .. 2021. 12. 6.

티스토리툴바