웹 취약점 진단 및 모의 해킹 사례와 기타 보안 기술

웹 취약점 진단 및 모의 해킹 사례와 기타 보안 기술

웹취약점진단및모의해킹사례와기타보안기술.pdf

목차 웹 취약점 진단 가이드 소개 로그인 인증우회 취약점 사례 크로스사이트스크립트 취약점 진단 사례 사용자 쿠기, 인증우회 취약점 사례 디렉토리 경로변경 취약점 사례 CSRF 취약점 진단 사례 백업 및 예제, 테스트 페이지 발견 방안 디렉토리 인덱싱 취약점 사례 보안설정상의 오류 등 기본적인 웹취약점 진단의 사례를 나타냄 본문 1. 개 요 1) OWASP(The Open Web Application Security Project)는 국제 웹 보안 표준 기구로서 웹 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구함 2) 3년마다 10대 웹 애플리케이션 취약점 OWASP TOP 10을 발표하며 2004년, 2007년, 2010년 발표됨 3) 2013년 2월 21일 제주도에서 2013년 컨퍼런스가 개최되었으며 OWASP TOP 10 2013이 발표됨 2. OWASP TOP 10 2013 항목 번호 분 류 설 명 1 Injection 신뢰할 수 없는 외부 값에 의해 발생하며 SQL삽입, 명령어삽입 가능 2 Broken Authentication and Session Management 인증과 세션관리와 관련하여 패스워드, 키, 세션토큰 및 사용자도용과 같은 취약점 발생 3 XSS 신뢰할 수 없는 외부 값에 의해 발생하며 사용자세션을 가로채거나, 홈페이지 변조, 악의적인 사이트 이동 가능 4 Insecure Direct Object References 파일, 디렉토리, 데이터베이스 키와 같은 중요정보 노출 5 Security Misconfiguration 보안설정을 적절하게 설정하고, 최적화된 값으로 유지하며, 최신 업데이트 상태로 유지 권고 6 Sensitive Data Exposure 개인정보 등 중요 데이터 저장 시 암호화 및 데이터 전송 시에도 암호화 권고 7 Missing Function Level Access Control 각각의 기능에 대한 정상적인 요청시 권한에 따른 적절한 접근통제 권고 8 CSRF 로그온된 피해자의 웹 브라우저를 통해, 세션쿠키 및 인증정보가 포함된 변조된 요청을 전송시켜, 물품구매, 사이트 글 변조 등의 악의적인 행동을 하는 취약점 9 Using Components with Known Vulnerabilities 취약한 라이브러리, 프레임워크 및 기타 다른 소프트웨어 모듈로 인해 취약점 10 Unvalidated Redirects and Forwards 사용자를 다른 페이지로 이동시킬 경우, 목적지에 대한 검증부재 시, 피싱, 악성코드 사이트 접속문제점 가능 하고 싶은 말 초보자가 가능한 모의해킹 기술, 웹 취약점 진단 기술, 보안인으로 기본적인 홈페이지 취약점 진단 가이드, 누구나 쉽게 배울수 있는 홈페이지 모의해킹 기술 키워드 웹취약점, 진단, 해킹, 초보자 모의 해킹, 홈페이지 취약점 진단