[컴퓨터 보안] Web Hacking & Protection

Web Hacking & Protection

 

[ Injecting Malicious Data ]

  : 웹 애플리케이션에 조작된 데이터를 강제로 입력시켜 공격하는 방법.

 

  · Parameter Tampering : 웹 애플리케이션에서 사용하는 Parameter를 강제로 입력하여 동작 오류를 만드는 방식.

  · URL Tampering : URL로 데이터 전송을 하는 경우, 이를 조작하여 공격자의 의도대로 동작을 바꾸는 방식.

  · Hidden Field Manipulation : Hidden Tag를 이용하여 원하는 값을 웹 애플리케이션으로 전달하는 방법.

  · HTTP Header Manipulation : HTTP 헤더의 정보를 이용할 때 이를 조작해서 오작동하도록 유인하는 방법.

  · Cookie Poisoning : Cookie를 조작하여 결과를 원하는대로 변경하는 방법.

  · Executable File Upload : 웹 애플레키이션에서 실행될 수있는 파일을 업로드하여 실행시켜 공격하는 방법. 

 

[ Exploiting Unchecked Input ]

  : 사용자의 입력값을 검증하지 않거나 제한하지 않아서 발생할 수 있는 문제를 이용해 공격하는 방법.

 

  · Cross-site Scripting (XSS)

    : 사이트를 넘어 스크립트를 실행하는 공격을 말함. → 다른 도메인에 있는 공격자의 서버에 로드되도록 함.

    : 악의적인 스크립트 코드를 웹 페이지에 삽입하여 사용자의 브라우저에서 실행시키는 방법.

    : 게시판과 같이 동적으로 생성되는 Page에 조작된 코드를 넣어 원하는 코드를 수행하게 함.

    : 특수문자와 Script, javascript, vbscript, cookie, location 등의 단어를 필터링하여 막을 수 있음.

  · SQL Injection

    : 사용자의 입력이 백엔드의 DB에 바로 전달될 때, 입력에 Query를 넣어 DB를 조작하는 방법.

    : 변수의 길이와 Query에 사용되는문자 및 단어를 필터링 하는 방법으로 막을 수 있음. 

  · Path Traversal

    : 웹 페이지에서 전달받은 인자를 그대로 Path로 사용할 때, 해당 값을 조작하여 파일에 접근하는 방법.

  · Command Injection

    : 웹 애플리케이션에서 사용자의 입력을 Shell 명령어로 이용할 때 이를 조작하여 원하는 명령을 실행하는 방법.