Part 2 : OWASP 2017 TOP 10 RC2 A2 - 인증 취약점[Broken Authentication]

A2 : 인증 취약점[Broken Authentication] * 정의 인증 및 세션 관리와 관련된 어플리케이션 기능이 종종 잘못 구현되어 공격자에게 취약한 암호, 키 또는 세션 토큰을 제공하여, 다른 사용자의 권한을 얻도록 착취하는 것을 말합니다. - 사이버 공격 형태 : 공격자는 암호나 키, 세션 쿠키, 기타 인증 관련 토큰을 공격하여 인증을 우회하고 다른 사용자의 ID를 가장 .Cookie Poisoning ․Session Replay - 취약점 점검 방법 ․ Javascript : document.cookie로 점검 ․ DB서버에 저장된 사용자 정보의 raw데이터 열람 가능 ․계정의 패스워드를 유추할 수 있는지 점검 ․쿠키 인증 시 쿠키 값의 변조로 인증을 통과할 수 있는지 점검 * 대응방법 1...

개발/OWASP 2017 2018.01.22 임통끼

Part 1 : OWASP 2017 TOP 10 RC2 A1 - 인젝션[Injection]

A1 : 인젝션[Injection] * 정의 SQL, OS, XXE, LDAP 인젝션 취약점은 interpreter(이하 인터프리터)에게 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부분이 전달될 때 나타납니다. 인터프리터는 공격자의 악의적인 데이터로 인해 예상하지 못하는 명령을 실행하거나 알맞은 권한 없이 데이터에 접근하여 피해를 입을 수 있습니다. 이로 인해서, IP, PW, 개인 정보 등의 유출 가능성이 높아집니다. 이에 대응하기 위해서 사용자 입력 창에 일부 특수문자 입력 차단, SQL 서버 에러 메시지 표시 금지, 일반사용자 권한으로 시스템 저장 프로시저 접근 차단 하는 등의 방안이 있습니다. 1-1. SQL Injection (가장 대표적인 것) SQL Injection은 웹 어플리케이션에서 ..

개발/OWASP 2017 2018.01.18 1 임통끼

Part 0 : OWASP TOP 10 정의

Open Web Application Security Project OWASP는 Open Web Application Security Project의 약자이고, 국제 웹 보안 표준기구입니다. 직역하자면 오픈소스 웹 어플리케이션 보안 프로젝트라고 할 수 있습니다. 이 프로젝트는 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하는 프로젝이고, 보안의 지식을 보유 하고있고, 프로젝트에 참가하고 싶다면 누구나 참여가 가능한 프로젝트입니다. 10대 웹 어플리케이션 취약점 (OWASP TOP 10)을 3년 마다 발표하고 있습니다. 가장 최근에는 OWASP TOP 10 2017 RC2를 발표하였습니다. 아래에서 취약점의 종류에 대하여 설명해드리겠습니다. 2017년 초에 발표된 RC1과 20..

개발/OWASP 2017 2018.01.18 1 임통끼