개발/보안 (3) 썸네일형 리스트형 [보안] 불필요한 메서드 제거 ✅ 불필요한 Method로 인한 중요정보를 획득하는 공격 ▣ 취약점 발견 내용 불필요한 Method를 사용하는 것을 확인. GET, POST, HEAD를 제외한 나머지 불필요한 Method를 전부 추가하여 Disable 조치 필요. ▣ 조치 내용 OPTION/ DELETE 메서드 제거 redirection 에러페이지 (302) 통일 ✔️ Apache-tomcat을 사용하는 경우 ~/conf/web.xml 파일 변경 Forbidden Protected Context /* OPTION DELETE TRACE CONNECT [보안] XSS 공격 이란? ✅ XSS 공격이란? 가장 널리 알려진 웹 보안 취약점 중 하나 악의적인 사용자가 공격하려는 사이트에 악성 스크립트를 삽입 할수 있는 보안 취약점이다 주로 여러 사용자가 보게 되는 전자 게시판에 악성 스크립트가 담긴 글을 올리는 형태로 이루어짐 XSS를 통해 좀비 PC에 명령을 내리거나 악성 코드를 제어하는 서버로 리다이렉트 시키거나 사용자의 쿠키를 탈취하여 세션 하이재킹 공격을 할수 있다. ✅ XSS 공격 종류 ? 게시판 및 URL 인자값을 통해 악성 자바스크립트를 입력하여 공격하는 방법 Stored XSS Reflected XSS DOM Based XSS ✅ Stored XSS ? 해커가 악의적인 스크립트가 담긴 게시물을 등록 사용자 쿠키 정보를 탈취하는 스크립트를 포함한 게시물을 작성 희생자는 해당.. [보안] SQL 인젝션 ✅ SQL 인젝션이란? 데이터 베이스와 연동된 웹 어플리케이션에서 공격자가 입력이 가능한 폼에 조작된 질의문을 삽입 하여 웹 서비스의 데이터 베이스 정보를 열람 또는 조작할수 있는 취약점 ✔️ 로그인을 할때 다음과 같은 방식으로 비밀번호에 ( 아무값 + 참이 되는 명제 or 연산자로 연결하여 )를 입력하면 패스워드를 제대로 적지 않고도 로그인을 통과 ✔️ 여기어때 해킹 사례 "SQL 인젝션 방식 흔적... 조사 뒤 손해 배상 " ✔️ 뽐뿌 해킹사건 그렇다면 대처법은 무엇이 있을까? ✅ 대처방안 1️⃣ 입력값 검증 SQL Injection 에서 사용되는 기법과 키워드는 엄청나게 많습니다. 사용자의 입력 값에 대한 검증이 필요한데요. 서버 단에서 화이트리스트 기반으로 검증해야 합니다. 블랙리스트 기반으로 검.. 이전 1 다음
