IT/영어 공부노트

File Upload 파일 업로드 기능이 존재하는 웹 상, 업로드 파일에 대한 제어(필터링, 개수 및 크기 제한 등) 미흡으로 외부에서 파일이 업로드 될 수 있는 취약점이다. 파일 업로드 취약점으로 서버 파일시스템에 파일 경로/파일 명을 업로드 할 수 있다 -> 공격자가 파일을 업로드하여 공격에 사용할 수 있다. CGI(Common Gateway Interface): 사용자의 요청을 받은 서버가 동적인 페이지를 구성하기 위해 엔진에 요청을 보내고 엔진이 처리한 결과를 서버에서 반환하는 기능 php, jsp, asp 등과 같이 CGI를 통해 서비스를 하는 형태에서는 확장자를 통해 웹 어플리케이션 엔진에 요청 여부를 판단한다. ※ .php확장자 외에도 .php3/4/5/7, .pht, .phtml 등의 확장..

주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드 - 웹보안 23. 파일 다운로드 파일 다운로드 취약점이란 웹 서버(웹사이트) 있는 파일을 Download 하는 기능이 있는 경우, 다운로드 시 파일의 경로를 조작(Directory Traversal)을 통해서 내부에 데이터를 다운을 받을 수 있는 취약점이다. 취약점 개요 점검내용 - 웹 사이트에서 파일 다운로드 시 허용된 경로 외 다른 경로의 파일 접근이 가능한지 여부 점검 점검목적 - 파일 다운로드 시 허용된 경로 외 다른 경로의 파일 접근을 방지하여 공격자가 임의의 위치에 있는 파일을 열람하거나 다운받는 것을 불가능하게 하기 위함 보안위협 - 해당 취약점이 존재할 경우 공격자는 파일 다운로드 시 애플리케이션의 파라미터 값을 조작하여 웹 사이..

XSS(Cross Site Scripting) 공격자가 입력한 악성스크립트가 사용자 측에서 응답하는 취약점이다. 공격자는 해당 취약점을 통해 특정 계정의 세션 정보를 탈취하고, 임의의 기능을 수행하는 등의 공격을 진행할 수 있다. 이는 이용자가 삽입한 내용을 출력하는 기능에서 발생한다. 클라이언트는 HTTP 형식으로 웹 서버에 리소스를 요청하고, 서버로부터 받은 응답(HTML, CSS, JS 등의 웹 리소스)를 시각화하여 이용자에게 보여준다. 이런 코드가 포함된 게시물을 조회할 경우 이용자는 변조된 페이지를 보거나 스크립트가 실행될 수 있다. 공격자가 자바스크립트를 통해 웹 페이지를 조작 가능한 이유? - 이용자를 식별하기 위한 세션 및 쿠키가 웹 브라우저에 저장되어 있기 떄문에! XSS 스크립트 예시 ..