전체 글70 [SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(64일차) 오늘 학습 주제 1. SSRF SSRF - 개요 - Server Side Request Forgery Server Side에서 이루어지는 요청을 변조하여 공격자가 의도한 서버로 임의의 요청을 할 수 있는 공격 외부 서버 자원을 처리하는 서비스에서 외부 서버 URL 파라미터에 대한 검증이 없거나 미흡하여 발생 Document Reader, Website 번역기, URL PreviewerImage Viewer, Web 크롤링 서비스 등에서 발생 로컬 서버 파일 접근, 내부 웹 서버의 정보 획득조작된 HTTP Request를 특정 내부 서버로 전송 등에 사용 - 대응 - server side 요청에 사용되는 입력 Parameter 검증 (White List, Black List) 2024. 2. 5. [SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(63일차) 오늘 학습 주제 1. CSRF CSRF - 개요 - XSS와 같이 사이트 내부 페이지이지만피해 대상은 클라이언트가 아닌 서버 - 대응 - 토큰은 우회 가능(가장 안전한 방법이 아니다) 2024. 2. 2. [SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(63일차) 오늘 학습 주제 1. XSS XSS - XSS - 웹 페이지에 악의적인 스크립트를 포함시켜 사용자 측에서 실행되게 유도하는 취약점 공격이 쉽고 완벽하게 방어하기 어려워보안 진단 시 가장 높은 비율로 탐지되는 취약점XSS를 통해 쿠키값을 탈취하여 사용자 권한을 도용하거나사용자의 키보드 입력값을 공격자가 확인 가능 - Stored XSS - 공격자가 입력하는 정보가 DB 서버와 같은 곳에 저장되고 이 값을 출력하는 페이지에서 발생하는 취약점 - Reflected XSS - 공격자가 입력하는 정보가 별도로 저장되지 않고 같은 페이지에서 바로 출력되면서 발생하는 취약점 - DOM XSS - 공격 스크립트가 DOM의 일부로 실행됨으로써브라우저 자체에서 악성스크립트가 실행되는 취약점 - 절차 - 1. XSS에 사용.. 2024. 2. 1. [SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(62일차) 오늘 학습 주제 1. SQL Injection 2. 취약한 시큐어 코딩 SQL Injection - Blind SQL Injection - 조건문의 결과 중 원하는 위치의 값 하나가 ASCII 값과 대소비교를 통해 정확한 값을 찾아내는 공격 논리형 결과로 데이터 확인 - 절차 - [테이블 개수 확인]and (select count(table_name) from all_tables) > 106--테이블의 정확한 수가 나올때까지 대소비교 [테이블 명 추출]and ascii(substr(select table_name from (select table_name, rownum as rnum from all_tables) where rnum=60)1, 1)) > 75--원하는 테이블의 이름을 찾을 때까지 숫자를 .. 2024. 1. 31. 이전 1 2 3 4 5 ··· 18 다음
