정보보안기사&CISSP관련172 [Day 47] Web Log Format Web Log Access Log, Error Log 두 가지를 Web Log 라고 함 Access Log : 클라이언트 요청에 의해 웹 서버가 응답한 내용 Error Log : 클라이언트 요청에 의해 웹 서버에 오류가 발생한 내용 Apache ELF Format Access log 예시(식별자 구분은 space) 123.123.123.123 - - [26/Apr/2000:00:23:51 -0400] "GET /cgi-bin/newcount?jafsof3&width=4&font=digital&noshow HTTP/1.0" 200 36 "http://www.aaa.com/asctortf/" "Mozilla/4.05 (Macintosh; I; PPC)" 식별자 설명 예시 Host 클라이언트의 호스트명 또는 .. 2020. 9. 26. [Day 46] 웹 애플리케이션 개발 보안 요구사항 1. 사용자에게 전달된 값(Hidden Form 필드, 파라미터)을 재사용할 경우 신뢰해서는 안된다. 클라이언트에 인증받았다는 정보를 저장했다가 다시 사용하는 것은 쉽게 조작이 가능하므로, 세션 기반으로 서버에서 처리하도록 변경해야 함 Hidden Form Field : 여러 단계 인증일 때, 이전 인증결과 저장 2. 최종 통제 메커니즘은 반드시 서버에서 수행되어야 한다. 클라이언트에서의 입력값 검증은 쉽게 우회가능함. 1차 검증은 클라이언트에서 하고 2차 검증은 서버에서 수행되어야 함 3. 클라이언트에게 중요 정보를 전달하지 않는다. 중요 정보를 하드코딩하거나 주석에 중요정보를 기재해선 안됨 쿠키로 중요정보를 전달해선 안되고, 부득이한 경우 암호화를 해야 함 4. 중요 정보 전송 POST Method .. 2020. 9. 25. [Day 45] 파일 업로드 취약점 파일 업로드 취약점이란? 웹 어플리케이션에서 업로드 파일에 대한 사전 체크를 하지 않을 경우, 허가되지 않은 파일이 웹서버로 업로드 될 수 있는 취약점 웹 어플리케이션에서 업로드하는 파일 타입이나 확장자를 체크하지 않을 경우, 웹쉘(webshell)이 업로드 되어 서버에서 악의적인 명령이 수행되거나, 악성코드 파일이 업로드되어 이를 다운받은 사용자 PC가 침하사고를 당할 수 있음 또는 다량의 아주 큰 파일을 연속적으로 전송하여 서버 부하 유발 웹쉘(Webshell) 악의적으로 웹 서버에 업로드 및 설치된 후 원격으로 웹 인터페이스를 통해 실행되어 대상 시스템의 정보 유출 및 변조, 시스템 명령 실행, 원격 제어 등을 수행할 수 있는 Server side script를 의미. JSP, ASP, PHP 등 .. 2020. 9. 24. [Day 44] XSS, CSRF XSS(Cross Site Script) 입력값 검증이 적용되지 않은 폼(웹 브라우저 URL, 게시판 등)에 악의적인 스크립트를 삽입하는 공격 사용자 PC에서 스크립트가 실행됨 공격절차 공격자가 악성 스크립트를 포함한 게시글 등록 사용자가 악성 스크립트가 포함된 게시글을 열면, 사용자 PC에서 스크립트가 동작함(세션 or 개인정보 탈취 등) CSRF(Cross Site Request Forgery) 정상적인 경로를 통한 요청인지 비정상적인 경로를 통한 요청인지 서버가 구분하지 못할 경우, 공격자가 스크립트 구문을 이용하여 정상적인 사용자(희생자)의 권한으로 조작된 요청을 전송하는 것 웹 서버는 희생자의 권한으로 위조된 요청사항(수정,삭제,생성 등)을 처리 공격절차 공격자가 일반 사용자 계정으로 조작된 요.. 2020. 9. 23. 이전 1 ··· 36 37 38 39 40 41 42 43 다음