![]()
프록시(Proxy)란? 영단어로 직역하면 '대리' 또는 '중계'라는 의미 서버와 클라이언트 사이의 중계 역할 자체를 프록시(Proxy)라고 하고, 그 중계 기능을 하는 장치 또는 응용 프로그램을 프록시 서버라고 한다. 네트워크 구조에서 프록시 서버가 사용되는 위치에 따라 Forward Proxy와 Reverse Proxy로 구분된다. 프록시(Proxy)의 종류 Forward Proxy Forward Proxy 란? 일반적인 프록시 형태 클라이언트가 직접 인터넷에 접근하는 것이 아닌 클라이언트 단 앞에 Rroxy Server를 위치시켜 Proxy Server가 요청을 받고 인터넷에 연결하여 서버와 통신 후 클라이언트에게 반환하는 방식 Forward Proxy 사용 이점 Proxy의 기능 중 하나인 캐싱 기..
![]()
에러처리 취약점이란? 이름 그대로 에러 처리를 충분히 하지 않아 에러 메시지를 통해 일반 사용자에게는 불필요한 정보가 보여지는 취약점을 의미한다. 에러처리 취약점 대응 방안 별도의 에러 페이지를 제작하여 다양한 에러들이 발생했을 때 제작한 에러페이지로 리다이렉션 되도록 설정한다.
![]()
권한인증 취약점이란? 권한인증 취약점은 사용자 인증 등에 사용되는 여러 정보를 수정하여 접근 권한이 없는 정보에 접근하여 기밀 정보를 조회 또는 변경하고 악용할 수 있는 취약점 공격 방식에 따라 아래와 같이 분류된다. URL/Parameter 변조 세션 탈취(불충분한 세션 관리) 쿠키 변조 URL/Parameter 변조 웹 서버에 전송되는 모든 HTTP 요청 값(URL, Parameter 등)을 조작해 접근 권한이 없는 정보에 접근하는 방식 세션 탈취(불충분한 세션 관리) 웹 애플리케이션 사용자가 로그인 시 발급되는 세션ID가 일정한 규칙을 가지고 발급되거나 세션 타임아웃을 너무 길게 설정한 경우 공격자가 사용자 세션ID가 유추하거나 유출되어 사용자의 권한이 도용되는 방식 쿠키 변조 쿠키(Cookie)를..
![]()
SQL Injection 취약점이란? 데이터베이스와 연동된 웹 애플리케이션에서 공격자가 입력 폼 또는 URL 입력란에 SQL 구문을 삽입하여 DB를 조작할 수 있는 취약점 입력란에 입력된 데이터의 유효성을 검증하지 않아 발생되는 보안 취약점이다. 쉬운 공격 난이도에 비해 공격이 성공할 경우 상당히 큰 피해를 낼 수 있는 취약점으로 파급력이 큰 취약점이라 볼 수 있다. 공격에 사용되는 방식에 따라 아래와 같이 분류된다. Generic SQL Injection Blind SQL Injection Union SQL Injection Error based SQL Injection Stored Procedure SQL Injection SQL Injection 취약점 대응 방안 입력 값에 대한 검증 로직을 구현하..
![]()
Cross-Site Scripting(XSS) 취약점이란? 관리자가 아닌 이가 신뢰할 수 있는 웹 사이트에 클라이언트 측에서 실행될 수 있는 악성 스크립트를 삽입할 수 있는 취약점 일반 사용자가 악성 스크립트가 저장된 웹 페이지에 접근할 경우 해당 사용자의 권한으로 저장된 악성 스크립트가 수행되어 정보 유출 등 공격이 수행된다. 공격 방식에 따라 아래와 같이 분류 Reflected XSS URL에 악성 스크립트를 포함하여 배포하는 방식 Stored XSS 게시판 등에 악성 스크립트가 포함된 글을 작성하여 게시글을 확인하는 사람을 대상으로 공격하는 방식 DOM based XSS 피해자의 브라우저에서 DOM 환경을 수정하는 방식의 공격 Cross-Site Scripting(XSS) 대응 방안 웹 서버에서 입..
