취약점 개념 설명 CSRF 취약점은 Cross-Site Request Forgery의 약어로 사이트 간 요청 위조라는 의미의 취약점으로 사용자의 의지와는 무관하게 공격자가 의도한 행위, 예를 들면 게시글 작성 또는 수정, 삭제 또는 패스워드 변경 등의 요청을 사용자의 권한으로 특정 웹 서버에 요청할 수 있는 취약점을 의미합니다. CSRF 사례 실제 사례로 2008년 옥션의 관리자가 CSRF 공격에 당하여 관리자 계정이 탈취된 사례가 있는데 이로 인해 약 1,800만 명의 개인정보가 유출된 사례가 있다. 이러한 방식으로 공격에 당할 경우 상당히 파급력이 커질 수 있는 위험도가 높은 취약점이다. DVWA (Medium) 환경 실습 CSRF 공격 실습을 위해 CSRF 탭에 들어온 모습이다. 해당 페이지에 있는..
CERT
취약점 개념 설명 Command Injection 취약점은 취약한 애플리케이션을 실행 중인 서버에서 임의의 운영체제 명령을 실행할 수 있는 취약점을 의미한다. 이 취약점이 존재할 경우 애플리케이션을 구동하고 있는 시스템 계정의 쉘 권한을 획득한 것과 같기 때문에 위험도가 높은 취약점 중 하나이다. 위 사진의 경우 Command Injection 공격 방식을 그림으로 표현한 것이다. 공격자가 애플리케이션에 접근 후 기본적으로 사용되는 명령어 뒤에 ;(세미콜론)을 삽입한 후 명령어를 추가로 입력하여 서버로 전송한다. 서버는 입력된 명령어를 필터링하지 않아 서버에서 2 가지 명령어가 실행되고 실행된 명령의 출력이 공격자에게 전송되어 민감한 정보가 노출되는 결과가 나오게 되는 것을 그림으로 설명한 것이다. DV..
취약점 개념 설명 무차별 대입 공격이라고 부르는 공격 기법으로 위 그림과 같이 특정한 암호를 알아내기 위해 가능한 모든 경우의 수를 대입하여 암호를 알아내는 공격 기법을 의미한다. Brute Force 공격 사례 실제 최근 사례로 다른 취약한 웹 페이지에서 탈취된 개인정보를 기반으로 우리은행 웹 사이트에서 Brute Force 공격을 수행하여 약 56,000 건의 개인정보가 유출되는 등의 사건이 발생한 사례가 있다. DVWA(Medium) 환경 실습 Brute Force 공격 실습을 위해 DVWA 페이지에서 Brute Force 페이지로 이동한 모습이다. 위 그림과 같이 일반적인 로그인 기능이 있는 것을 확인할 수 있다. 사용자 계정 또는 패스워드가 틀렸을 경우에는 위 그림에 보이는 것과 같이 Usern..
Stored XSS 취약점에 대해 알아보기 앞서 XSS(Cross Site Scripting)취약점에 대해 간략하게 살펴보겠습니다. XSS ( Cross Site Scripting ) ? 웹 사이트 관리자가 아닌 이가 웹 페이지에 클라이언트 측에서 실행될 수 있는 악성 스크립트를 삽입할 수 있는 취약점 Stored XSS ? 공격자가 서버에서 제공되는 게시판, 방명록, 사용자 프로필 등에 악의적인 스크립트를 작성하여 저장한 후 사용자가 게시물, 방명록 등을 확인하면 스크립트가 사용자에게 전달되어 실행되는 취약점 공격자가 작성한 악성 스크립트가 서버에 저장되어 사용된다는 특징이 있다. DVWA 환경에서 Stored XSS 실습 우선 본 실습에 앞서 실습 환경의 경우 리눅스 환경에서 DVWA 환경을 구축한 ..
Reflected XSS에 대해 알아보기 앞서 XSS(Cross Site Scripting)취약점이 무엇인지 간단하게 알아보도록 하겠습니다. XSS ( Cross Site Scripting ) ? 웹 사이트 관리자가 아닌 이가 웹 페이지에 클라이언트 측에서 실행될 수 있는 악성 스크립트를 삽입할 수 있는 취약점 Reflected XSS ? 공격자가 악성 스크립트가 담긴 URL을 생성하여 메일 등을 통해 사용자에게 전달한 후 실행하도록 하는 공격으로 사진과 같이 공격자가 악성 스크립트가 담긴 URL을 사용자에게 전달 후 사용자가 실행하면 웹 서버로부터 해당 스크립트에 대한 응답이 즉시 사용자에게 전달되는데 이것이 마치 반사되는 것과 같은 형상을 보이기 때문에 Reflected(반사형) XSS 공격이라 부른..