XSS(Cross Site Scripting)란? [보안 취약점 진단 및 대응/취약점] - XSS/CSRF 공격 XSS/CSRF 공격 XSS와 CSRF XSS 공격은 Cross Site Scripting의 약자로, 웹 애플리케이션에서 많이 나타나는 취약점 중 하나입니다. 공격자가 웹페이지에 악성스크립트를 삽입하는 공격입니다. [XSS 종류] ▷ Reflected XSS: psjin230.tistory.com XSS는 사용자 입력 값을 충분히 검증하지 않았을 때 발생하는 취약점으로, 웹페이지에 악의적인 스크립트를 포함시켜 사용자 측에서 실행되게 유도하는 취약점입니다. 모의해킹/취약점 진단 시 가장 높은 비율로 탐지 됩니다. ▷Reflected XSS(반사형 XSS) : 공격자가 작성한 스크립트 코드가 별도..
SQL Injection이란? [모의해킹] - SQL Injection 공격(Union, Error, Blind...) SQL Injection 공격(Union, Error, Blind...) SQL Injection Injection(삽입)은 외부 입력값을 내부처리에 사용하는 경우, 외부 입력값 처리를 조작하는 문자열 포함 여부를 확인하지 않고 사용하는 경우 또는 원래 의도했던 처리가 변경되어 수행 psjin230.tistory.com [모의해킹] - Blind SQL Injection Blind SQL Injection SQL Injection이란? [모의해킹] - SQL Injection 공격(Union, Error, Blind...) SQL Injection 공격(Union, Error, Blin..
SQL Injection이란? [모의해킹] - SQL Injection 공격(Union, Error, Blind...) SQL Injection 공격(Union, Error, Blind...) SQL Injection Injection(삽입)은 외부 입력값을 내부처리에 사용하는 경우, 외부 입력값 처리를 조작하는 문자열 포함 여부를 확인하지 않고 사용하는 경우 또는 원래 의도했던 처리가 변경되어 수행 psjin230.tistory.com Blind SQL Injection Blind는 쿼리 실행 결과가 화면에 표시되지 않아서 직접적으로 확인할 수 없다는 의미를 가지고 있습니다. Blind SQL Injection은 사용자 입력값으로 악의적인 SQL 쿼리를 삽입하여 데이터베이스에서 민감한 정보를 추출하지만..
SQL Injection이란? [모의해킹] - SQL Injection 공격(Union, Error, Blind...) SQL Injection 공격(Union, Error, Blind...) SQL Injection Injection(삽입)은 외부 입력값을 내부처리에 사용하는 경우, 외부 입력값 처리를 조작하는 문자열 포함 여부를 확인하지 않고 사용하는 경우 또는 원래 의도했던 처리가 변경되어 수행 psjin230.tistory.com Error Based SQL Injection Error Based SQL Injection은 사용자 입력값으로 악의적인 SQL 쿼리를 삽입하여 데이터베이스에서 발생하는 오류 메시지를 통해 민감한 정보를 추출하는 공격입니다. 주로 웹 애플리케이션이 데이터베이스 오류 메시..
SQL Injection이란? [모의해킹] - SQL Injection 공격(Union, Error, Blind...) SQL Injection 공격(Union, Error, Blind...) SQL Injection Injection(삽입)은 외부 입력값을 내부처리에 사용하는 경우, 외부 입력값 처리를 조작하는 문자열 포함 여부를 확인하지 않고 사용하는 경우 또는 원래 의도했던 처리가 변경되어 수행 psjin230.tistory.com SQL Injection은 외부 입력값에 쿼리 조작 문자열 포함 여부를 확인하지 않고 쿼리문 생성 및 실행에 사용하는 경우, 쿼리의 구조와 의미가 변경되어 실행되는 것을 뜻합니다. 권한 밖의 데이터에 접근이 가능하고, DBMS 시스템의 제어권을 탈취할 수 있으며, 쿼리를..
SQL Injection Injection(삽입)은 외부 입력값을 내부처리에 사용하는 경우, 외부 입력값 처리를 조작하는 문자열 포함 여부를 확인하지 않고 사용하는 경우 또는 원래 의도했던 처리가 변경되어 수행되는 것을 의미합니다. => 처리가 쿼리문을 만들고 실행하는 처리 : SQL Injection => XPath 또는 XQuery 구문을 이용해서 xml 문서를 조작하는 처리 : XPath 삽입, XQuery 삽입 => LDAP 서버에 쿼리를 실행하는 처리 : LDAP 삽입 => 운영체제 명령어를 실행하는 처리 : Command Injection(운영체제 명령어 삽입) Injection(삽입) 취약점을 방어하기 위해 입력값을 검증 및 제한하여 외부에서 전달되는 값에 처리를 조작하는 문자열 포함여부를 ..