웹 공격의 종류
1) SQL Injection
- SQL이란?
관계형 데이터베이스 관리 시스템(RDBMS)의 데이터를 관리하기 위해 설계된 특수 목적의 프로그래밍 언어 - 특징 : 악의적 SQL쿼리문 서버로 전송
=> DB 접근
- 대응방안 :
(1) 입력값 검증
(2) Prepared Statement 구문 사용
(3) Error Message 노출 금지
2) XSS (Cross-Site Scripting)
-
특징 :
JS와 밀접한 환경!
해커가 웹 사이트에 악의적 스크립트 심은 클릭 유도글 작성
=> 클라의 웹 브라우저를 공격
=> 쿠키 정보 탈취
=> DB 접근(1) Reflected XSS
-
특징 : 비 지속적, URL통해 스크립트 실행
=> 쿠키 정보 탈취
=> DB 접근(2) Stored XSS
특징 : 지속적, 서버에 저장된 클릭 유도 글
=> 글 클릭할때마다 스크립트 실행
=> 쿠키 정보 탈취
=> DB 접근
-
대응 방안
(1) 스크립트 태그의 입력을 막기
(2) 쿠키 설정 확인하기 (httpOnly)
(3) 쿠키에 민감한 정보 담지 않기
3) CSRF (Cross-Site Request Forgery)
- 특징 : 사이트간 요청 위조 , 사용자가 해당 사이트에 로그인 되어있을때만 피싱 가능
=> 패스워드 변경 등의 피싱
=> DB 접근
4) ClickJacking
-
특징 : 인터페이스 덧씌우기
=> 사용자가 의도한 대상이 아니라 실제로 다른 대상 클릭하도록
-
대응방안
(1) X-Frame-Options : HTTP의 X-Frame-Options 헤더
(2) 콘텐츠 보안 정책(Content Security Policy, CSP)
(콘텐츠 출처 : 코드스테이츠)
Hello world!