본문 바로가기

사이버 보안

(7)

사이버 보안: 자동화 공격이란? 정의 자동화 공격은 공격자가 컴퓨터 프로그램이나 스크립트를 사용하여 대상 시스템을 자동으로 공격하는 취약점입니다. 취약점 발생 지점 리스트 로그인페이지 게시글 등록 sns 발송 페이지 취약점 검증 방법 반복적으로 요청을 시도하고 아무 문제가 없는 경우 공격법 공격 시나리오 자동화 공격의 일반적인 시나리오는 다음과 같을 수 있습니다: 자동화된 도구를 사용하여 반복적으로 로그인 시도를 합니다. 사용자들중에 취약한 비밀번호를 가진 사용자의 비밀번호를 공격자가 탈취합니다. 발생 과정 공격 예제 다음 예제는 php로 만들어진 로그인 사이트에 비밀번호가 4자리수밖에 없다고 할때, 반복적으로 로그인 시도를 하도록 짜여진 파이썬 코드입니다. import requests url = '' username = 'test' ..

사이버 보안: 세션 고정이란? 정의 세션 고정(Session Fixation)은 웹 응용 프로그램 보안에서 발생할 수 있는 취약점 중 하나입니다. 이 취약점은 공격자가 사용자의 세션 식별자(session identifier)를 제어하여 인증된 세션에 접근할 수 있는 상황을 의미합니다. 취약점 발생 지점 리스트 세션을 발행하는 페이지 세션이 있어야만(인가를 받아야지만) 들어갈수 있는 페이지 취약점 검증 방법 발급된 세션이 로그아웃후 다시 로그인 해도 똑같은 경우 로그인하기 전의 세션과 로그인한 후의 세션이 똑같은 경우 세션을 재발급 안하는 경우(응답에서 set cookie)가 존재하지 않는 경우. 공격법 공격 시나리오 공격자는 로그인해서 세션 식별자를 생성합니다. 사용자에게 이 세션 식별자를 강제로 전달합니다. 사용자가 웹 응용 프로그..

사이버 보안: 불충분한 인증이란? 정의 불충분한 인증(Insufficient Authentication)은 보안 취약점으로, 애플리케이션 또는 시스템에서 적절한 인증 절차 없이 중요한 기능 또는 자원에 접근할 수 있는 상황을 말합니다. 취약점 발생 지점 리스트 인가를 받아야 접근할수 있는 페이지 마이페이지 게시판 취약점 검증 방법 마이페이지 접근시 다시 재인증을 하는가 확인 아이디와 비밀번호가 틀려도 로그인할수 있는 경우 인증을 아이디만으로 하는 경우 공격법 공격 시나리오 공격자는 인증 절차를 우회하거나 무력화시키기 위한 취약점을 탐색합니다. 약한 비밀번호를 통해 인증을 우회하거나 인증된 사용자의 세션을 무단으로 탈취합니다. 취약점을 통해 중요한 기능이나 자원에 접근하고 악용합니다. 발생 과정 대응방법 적절한 인증 절차를 구현하고 강화합..

사이버 보안: 약한 문자열 강도란? 정의 약한 문자열 강도는 비밀번호나 인증 정보 등의 문자열이 얼마나 취약한지를 나타내는 척도입니다. 취약점 발생 지점 리스트 로그인 페이지 취약점 검증 방법 길이, 단순성 아이디: admin, administrator, manager, guest, test, scott, tomcat, root, user, operator, anonymous 등 비밀번호: Abcd, aaaa, 1234, 1111, test, password, public, blank 패스워드, ID와 동일한 패스워드,password123,qwerty, 123456789 등 해커들이 취약한 혹은 자주사용되는 아이디와 비밀번호 리스트를 가지고 해킹을 시도하는 경우가 많으므로, 이를 주의하는것이 필요함. 공격법 공격 시나리오 공격자는 약한 문..

사이버 보안: 디렉터리 인덱싱이란? 정의 디렉터리 인덱싱 취약점은 웹 애플리케이션에서 발생하는 보안 취약점 중 하나입니다. 이 취약점은 웹 애플리케이션이 사용자의 입력을 검증하지 않고 디렉터리 경로를 동적으로 생성하는 경우에 발생할 수 있습니다. 특정 디렉터리에 초기 페이지 (index.html, home.html, default.asp 등)의 파일이 존재하지 않을 때 자동으로 디렉터리 리스트를 출력하는 취약점 취약점 발생 지점 리스트 모든 페이지 취약점 검증 방법 example.com/경로1/경로2/페이지 일때, example.com/경로1/경로2/를 테스트 example.com/경로1/경로2/페이지 일때, example.com/경로1/../../../를 테스트 example.com/ 일때, example.com/index.php를 테스..

사이버 보안: LDAP 인젝션이란? 정의 LDAP(Lightweight Directory Access Protocol) 인젝션은 사용자로부터 입력된 데이터가 적절하게 검증되거나 정리되지 않은 채로 LDAP 쿼리에 사용될 때 발생하는 보안 취약점입니다. 이는 LDAP 디렉터리에서의 무단 접근이나 데이터 조작을 초래할 수 있습니다. 취약점 발생 지점 리스트 사용자 입력이 되어 인증하는 모든 곳 로그인 아이디, 비밀번호 취약점 검증 방법 사용자 입력 값에 변조된 LDAP 쿼리 삽입 후 실행되는지 확인 USERNAME>(&) LDAP 인젝션 치트시트 LDAP(Lightweight Directory Access Protocol) LDAP은 네트워크 디렉토리 서비스를 구현하기 위한 프로토콜로, 사용자, 그룹, 기기 등과 같은 디렉토리 정보를 저장하고..

사이버 보안: 사회공학기법이란? 정의 사람들의 신뢰나 무지, 또는 인간의 사회적 행동을 이용하여 정보를 획득하거나 인간을 속이는 기법입니다. 예제 피싱 (Phishing) 피싱은 사회공학의 가장 일반적인 형태 중 하나입니다. 공격자는 전자 메일, 메시지, 또는 소셜 미디어와 같은 수단을 사용하여 사람들을 속여 개인 정보를 빼내거나 악성 소프트웨어를 설치하도록 유도합니다. 예를 들어, 은행에서 온 것처럼 위장한 이메일을 통해 사용자의 로그인 정보를 요구하거나, 신뢰할 수 있는 기관으로 위장한 링크를 제공하여 사용자로 하여금 개인 정보를 입력하게 합니다. 소셜 엔지니어링 (Social Engineering) 소셜 엔지니어링은 공격자가 사람들과의 상호 작용을 통해 정보를 얻거나 특정 동작을 수행하도록 유도하는 기법입니다. 예를 들어, 공격자..

이전 1 다음

티스토리툴바