728x90
A1. 인젝션 취약점
- 웹 어플리케이션은 사용자로부터 다양한 형태로 입력 값을 받고 있다.
- 정상적이지 않은 방법으로 웹 어플리케이션이 입력값을 전달하여 공격자가 원하는 결과를 얻는 취약점
- SQL 쿼리문을 조작하는 SQL Injection, 운영체제 명령어를 호출하는 OS Command Injection등이 있음
SQL Injection
- 공격 가능성은 쉽지만, 기술적 영향도는 심각하다.
- password부분에 공격 코드 ' or "=' 형태를 넣었을 때, 쿼리문이 무조건 참으로 실행되면서 공격이 들어가게된다.
A2. 취약한 인증
- 웹 어플리케이션은 사용자를 인증하기 위해 쿠키/세션과 같은 값을 사용한다.
- 이런 쿠키/세션 관련 정보가 잘못 사용될 경우 취약점이 발생한다.
- 패스워드 정책이 취약하거나 또는 사용자 아이디 존재 유무를 확인할 수 있을 때 공격자는 무차별 대입 공격을 통해 인증을 무력화할 수 있다.
A3. 민감한 데이터 노출
- 웹 어플리케이션은 사용자로부터 로그인 정보(아이디, 패스워드 )또는 주민번호, 카드 번호 등 민감한 정보를 받는 경우가 많다. 이러한 정보가 네트워크를 통해 전송될 때 https와 같은 암호화 통신을 통해 전송되지않는다면, 공격자는 중간에 정보를 모니터링하여 민감한 정보를 훔쳐볼 수 있다.
...
728x90
반응형
'study > Network' 카테고리의 다른 글
스푸핑(Spoofing) 공격- ARP, DNS spoofing (0) | 2020.09.16 |
---|---|
OSI 7 Layer (0) | 2020.09.16 |