소개글
웹 취약점 진단 및 모의 해킹 사례와 기타 보안 기술에 대한 자료입니다.
목차
웹 취약점 진단 가이드 소개
로그인 인증우회 취약점 사례
크로스사이트스크립트 취약점 진단 사례
사용자 쿠기, 인증우회 취약점 사례
디렉토리 경로변경 취약점 사례
CSRF 취약점 진단 사례
백업 및 예제, 테스트 페이지 발견 방안
디렉토리 인덱싱 취약점 사례
보안설정상의 오류 등 기본적인 웹취약점 진단의 사례를 나타냄
본문내용
1. 개 요
1) OWASP(The Open Web Application Security Project)는 국제 웹 보안 표준
기구로서 웹 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구함
2) 3년마다 10대 웹 애플리케이션 취약점 OWASP TOP 10을 발표하며 2004년,
2007년, 2010년 발표됨
3) 2013년 2월 21일 제주도에서 2013년 컨퍼런스가 개최되었으며 OWASP TOP 10
2013이 발표됨
2. OWASP TOP 10 2013 항목
번호 분 류 설 명
1 Injection
신뢰할 수 없는 외부 값에 의해 발생하며 SQL삽입,
명령어삽입 가능
2
Broken Authentication
and
Session Management
인증과 세션관리와 관련하여 패스워드, 키, 세션토큰 및
사용자도용과 같은 취약점 발생
3 XSS
신뢰할 수 없는 외부 값에 의해 발생하며 사용자세션을
가로채거나, 홈페이지 변조, 악의적인 사이트 이동 가능
4
Insecure Direct
Object References
파일, 디렉토리, 데이터베이스 키와 같은 중요정보 노출
5
Security
Misconfiguration
보안설정을 적절하게 설정하고, 최적화된 값으로 유지하며,
최신 업데이트 상태로 유지 권고
6
Sensitive Data
Exposure
개인정보 등 중요 데이터 저장 시 암호화 및 데이터 전송
시에도 암호화 권고
7
Missing Function Level
Access Control
각각의 기능에 대한 정상적인 요청시 권한에 따른 적절한
접근통제 권고
8 CSRF
로그온된 피해자의 웹 브라우저를 통해, 세션쿠키 및
인증정보가 포함된 변조된 요청을 전송시켜, 물품구매,
사이트 글 변조 등의 악의적인 행동을 하는 취약점
9
Using Components with
Known Vulnerabilities
취약한 라이브러리, 프레임워크 및 기타 다른 소프트웨어
모듈로 인해 취약점
10
Unvalidated Redirects
and Forwards
사용자를 다른 페이지로 이동시킬 경우, 목적지에 대한
검증부재 시, 피싱, 악성코드 사이트 접속문제점 가능
하고 싶은 말
초보자가 가능한 모의해킹 기술, 웹 취약점 진단 기술, 보안인으로 기본적인 홈페이지 취약점 진단 가이드, 누구나 쉽게 배울수 있는 홈페이지 모의해킹 기술