인젝션(주입) 공격
SQL 인젝션
커맨드 인젝션
XPath 인젝션
XXE 인젝션
sql injection
웹 어플리케이션에서 입력 받은 데이터가 데이터베이스로 정상적인 쿼리로 전달되어야 하지만
입력시 접근 통제가 되지 않아 잘못된 쿼리를 입력 하는 방법
form base sql injection
bypassing sql injection
string sql injection
url sql injection
union sql inject
code sql injection
error base sql injection
stored procedure sql injection
blind sql injection
cookie sql injection (mass sql injection )
ex) 스크립트
무효화 시킬 수 있는 client side script 방식의 접근 통제와
또 계정생성 시 적용되는 계정 정책이 로그인(식별) 과정에서 필터링 되지 않아 발생.
mssql -- 주석
mysql # 주석
' or 1=1--
' or''='
' or'a'='a--
' or '='or'
') or ('a'='a
") or ("a"="a
-------------------------
크로스 사이트 스크립트
XSS
크로스 사이트 요청 변조
CSRF
< CRLF 해킹기법 >
- GET/POST 으로 데이터를 요청하면서 서버가 CRLF를 인식하여 문자열이 종료되는 것을 알고 , CRLF를 Hex 데이터로 변경하여 다른 요청까지 연결시켜 공격하는 기법.
파일 업로드 취약점
파일 다운로드 취약점
파라미터 변조 취약점
웹 페이지 접근 제어 부재
페이지 내 중요 정보 노출
WAS 취약점
프레임워크 취약점
인증과 세션 관리
cookie
persistent cookie | session cookie (non-persistent cookie)
-------
* 웹 해킹으로 인한 영향력
- 시스템 명령어 실행, 서버 내 정보 탈취, 기업 중요 정보 탈취, 고객 개인 정보 탈취
* 기업에서의 웹 사이트 보안을 위한 노력
보안 솔루션 도입
개발자 보안 교육
정기적 취약점 진단
보안 인력 호가보
임원 대상 보안 의식 제고
'Cyber Security' 카테고리의 다른 글
| CISO (정보보호 최고책임자)에 관하여 알아보기 (0) | 2020.03.03 |
|---|---|
| Foxy Proxy 설치하기 (0) | 2020.02.27 |
| 웹 해킹 절차, 대상, 사용 도구, 방법론에 관하여 (1/2) (0) | 2020.02.22 |
| HTTP/HTTPS 프로토콜에 관하여 (0) | 2020.02.22 |
| 웹 애플리케이션이란? (0) | 2020.02.22 |