[인터넷보안] 7주차 웹 해킹

행복한 콩🌳·2022년 5월 15일
0

인터넷 보안

목록 보기
9/12

1차시 웹 해킹의 절차

취약점
보안상의 문제점을 안고 있는 컴퓨터 시스템의 약점
스캔(Scan)
취약점을 찾기 위하여 공격대상으로 선정된 시스템을 검색하여 발견된 취약점을 보고하는 것으로, 이 작업을 스캐닝이라 함
request
시스템 안의 지정 서브시스템에 대해서 해당 서브시스템에서 구비하는 기능에 따른 처리를 요구하는 것으로, 보통 클라이언트가 서버에게 처리를 요구함
response
request에 대한 응답으로 처리가 완료된 결과를 처리를 요구한 클라이언트에게 전송하는 것

웹 해킹의 두가지 방법

  • 직관적으로 취약할 것으로 예상된 점에 침투 시도
  • 전반적 스캐닝후 취약점 발견으로 침투 시도
    일반적인 웹 해킹 절차
  • 공격대상 선정 - 정보 수집 - 취약점 분석 - 공격 - 보고서작성 및 흔적 제거
    해킹 후 발견된 취약점을 해당 사이트의 담당자에게 결과와 대응방안 보고
    정보 수집
  • 공격자가 공격 대상에 대한 조사 과정
  • 웹 사이트 탐색 및 분석 : 실습 사용 툴 - Burp Suite
  • 웹 브라우저의 확장기능을 통한 분석
  • 검색엔진을 통한 수집(구글 고급검색)
  • 스캐닝 툴 이용한 정보 수집 : 실습 사용 툴 - Wikto

2차시 OWASP TOP 10 - 1

인증
여러 사람이 공유하고 있는 컴퓨터 시스템이나 통신망의 경우 이를 이용하려는 사람이나 응용프로그램의 신분(identification)을 확인하여 불법적인 사용자가 들어올 수 없도록 시스템 보안을 유지하는 방법
세션
일정 시간동안 같은 사용자로 부터 들어오는 일련의 요구를 하나의 상태로 보고 그 상태를 일정하게 유지시키는 기술
토큰
연속된 문자에서 구별할 수 있는 단위이며, 루프 또는 고리 형태의 망에서 사용권을 제어하는 데 사용
쿠키
인터넷 웹사이트의 방문기록을 남겨 사용자와 웹사이트 사이를 매개해 주는 정보

OWASP Top 10의 탄생

  • 오픈 프로젝트인 OWASP는 2001년 12월 Mark Curphey와 Dennis Groves 등에 의해 처음 만들어졌다.
  • 2004년에 웹 애플리케이션상의 10대 주요 취약점(OWASP Top 10)을 발표
  • OWASP는 Local Chapter라는 지부를 통해 전 세계적으로 정보를 공유하였다.
    2013년에 발표된 OWASP TOP 10
  • A1 : 인젝션 취약점 (10-A1)
  • A2 : 취약점 인증 및 세션 관리 (10-A3)
  • A3 : 크로스 사이트 스크립팅 (XSS)
  • A4 : 안전하지 않은 직접 객체 참조 (10-A4)
  • A5 : 보안상 잘못된 구성 (10-A6)
  • A6 : 기밀 데이터 노출 (10-A7과 A9 통합)
  • A7 : 기능 수준의 접근 통제 누락 (10-A8확장)
  • A8 : 크로스 사이트 요청 변조(CRSF) (10-A5)
  • A9 : 알려진 취약성을 가진 컴포넌트의 사용 (10-A6 포함되었던 내용)
  • A10 : 검증되지 않은 리다이렉트와 포워드 (10-A10)

3차시 OWASP TOP 10 - 2

WebGoat
웹 애플리케이션에서 자주 발생하는 취약점을 쉽게 테스트할 수 있도록 만든 환경
WebGoat의 목표
웹 애플리케이션 보안을 가르치거나 배우기에 적합한 상호작용 환경을 만드는 것

OWASP TOP10 - 후반부

  • A5 – 보안 설정 오류 : 보안 시스템들의 기본값은 종종 안전하지 않기 때문에 보안 설정은 정의, 구현 및 유지되어야 한다.

  • A6 – 민감 데이터 노출 : 중요 데이터가 저장 또는 전송 중이거나 브라우저와 교환하는 경우 특별히 주의하여야 하며, 암호화와 같은 보호조치를 취해야 한다.

  • A7 – 기능 수준의 접근통제 누락 : 요청에 대해 적절히 확인하지 않을 경우 공격자는 적절한 권한 없이 기능에 접근하기 위한 요청을 위조할 수 있다.

  • A8 – 크로스 사이트 요청 변조(CSRF) : CSRF 공격은 공격자가 취약한 애플리케이션이 피해자로부터의 정당한 요청이라고 오해할 수 있는 요청들을 강제로 만들 수 있다.

  • A9 – 알려진 취약점이 있는 컴포넌트 사용 : 알려진 취약점이 있는 컴포넌트를 사용하는 애플리케이션은 애플리케이션 방어 체계를 손상하거나, 공격 가능한 범위를 활성화하는 등의 영향을 미친다.

  • A10 – 검증되지 않은 리다이렉트 및 포워드 : 적절한 검증 절차가 없으면 공격자는 피해자를 피싱 또는 악성코드 사이트로 리다이렉트 하거나 승인되지 않은 페이지에 접근하도록 전달할 수 있다.

profile
행복한 콩🌳
매일매일 조금씩 모여 숲이 되자🐣
이전 포스트

[인터넷보안] 6주차 웹과 웹 해킹

다음 포스트

[인터넷보안] 9주차 웹 인증 취약점

0개의 댓글