목록웹취약점 (4)
IT/영어 공부노트
주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드 - 웹보안 2. 포맷 스트링 포맷스트링이란? 외부에서 입력한 값을 검증하지 않고, 입출력 함수의 포맷 문자열 그대로 사용하는 경우에 발생하는 취약점이다. 프로그램에 입력된 문자열 데이터가 명령으로 해석될 때 발생하고, 공격자는 코드를 실행하거나 스택 메모리 일부를 읽거나 실행중인 프로그램에 Segmentation Fault를 발생시켜 시스템에 의도되지 않은 동작을 일으킬 수 있다. ※ Segmentation Fault: 프로그램이 허용되지 않은 메모리 영역에 접근을 시도하거나, 허용되지 않은 방법으로 메모리 영역에 접근을 시도할 경우 발생하는 오류이다. 포맷함수 프로그램 언어의 변수를 사람이 읽을 수 있는 문자열 형식으로 변환하는 ANSI C ..
주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드 - 웹보안 1. 버퍼 오버플로우 버퍼 오버플로우란? 버퍼 - 데이터가 목적지로 이동되기 전에 보관되는 임시 저장소 데이터의 처리속도가 다른 두 장치가 있을 때, 이 둘 사이에 오가는 데이터를 임시로 저장해두는 일종의 완충작용을 한다. 버퍼 오버플로우는 문자 그대로 버퍼가 넘치는 것을 의미한다. 일반적으로 버퍼는 메모리상에 연속해서 할당되어 있으므로, 어떤 버퍼에서 오버플로우가 발생하면, 뒤에 있는 버퍼들의 값이 조작될 위험이 있다. 취약점 분석 취약점 개요 점검내용 - 사용자가 입력한 파라미터 값의 문자열 길이 제한 확인 점검목적 - 웹 사이트에서 사용자가 입력한 파라미터 값의 문자열 길이 제한 여부를 점검하여 비정상적 오류 발생을 차단하기 위..
주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드 - 웹보안 22. 파일 업로드 파일 업로드 취약점이란? 파일 업로드 기능이 존재하는 웹 상, 업로드 파일에 대한 제어(필터링, 개수 및 크기 제한 등) 미흡으로 외부에서 파일이 업로드 될 수 있는 취약점이다. 파일 업로드 취약점으로 서버 파일시스템에 파일 경로/파일 명을 업로드 할 수 있다 -> 공격자가 파일을 업로드하여 공격에 사용할 수 있다. 취약점 분석 취약점 개요 점검내용 - 웹 사이트의 게시판, 자료실 등에 조작된 Server Side Script 파일 업로드 및 실행 가능 여부 점검 점검목적 - 업로드되는 파일의 확장자에 대한 적절성 여부를 검증하는 로직을 통해 공격자가 조작된 Server Side Script 파일 업로드 방지 및 ..
주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드 - 웹보안 23. 파일 다운로드 파일 다운로드 취약점이란 웹 서버(웹사이트) 있는 파일을 Download 하는 기능이 있는 경우, 다운로드 시 파일의 경로를 조작(Directory Traversal)을 통해서 내부에 데이터를 다운을 받을 수 있는 취약점이다. 취약점 개요 점검내용 - 웹 사이트에서 파일 다운로드 시 허용된 경로 외 다른 경로의 파일 접근이 가능한지 여부 점검 점검목적 - 파일 다운로드 시 허용된 경로 외 다른 경로의 파일 접근을 방지하여 공격자가 임의의 위치에 있는 파일을 열람하거나 다운받는 것을 불가능하게 하기 위함 보안위협 - 해당 취약점이 존재할 경우 공격자는 파일 다운로드 시 애플리케이션의 파라미터 값을 조작하여 웹 사이..