Web Vulnerability
-
SQL Injection 취약점(2)_Error Based InjectionWeb Vulnerability 2020. 1. 27. 20:45
SQL Injection 취약점(2)_Error Based Injection 1. 정의 SQL 쿼리에 고의적으로 오류를 발생시켜, 출력되는 에러의 내용을 통해 필요한 정보를 찾아낸다. 기본적으로 '(싱글 쿼테이션) 또는 ''(더블 쿼테이션)을 이용하며, Group BY와 HAVING 등을 이용하기도 한다. 2. 실습 환경 Error Based Injection 실습을 위한 환경은 다음과 같다. - 웹 서버 운영체제: Windows Server 2003 - 웹 서버 : IIS 6.0 - 데이터베이스 : MSSQL Server 2003 - 스크립트 언어 : ASP 3. 점검 방법 1) 에러 메시지를 통한 DB 정보확인 DB에서 반환되는 에러메시지를 이용하여 DB 정보(Table, Column 등)를 확인해본..
-
SQL Injection 취약점(1)_개요Web Vulnerability 2020. 1. 27. 19:11
SQL Injection 취약점 1. 정의 데이터베이스와 연동된 웹 어플리케이션에서 SQL 질의문에 대한 필터링이 제대로 이루어지지 않을 경우 발생하는 취약점이다. 공격자가 입력이 가능한 폼(웹 브라우저 주소 입력창 또는 로그인 폼 등)에 조작된 질의문을 삽입하여 웹 서버의 데이터베이스 정보를 열람 또는 조작이 가능하다. 2. 발생 원인 사용자 입력값에 대한 필터링이 존재하지 않아 발생한다. 즉, 사용자 입력값에 대한 검증이 미흡하다는 것이다. 3. 발생 위협 데이터 추출(Extracting Data) 데이터 추가 및 변조(Adding or Modifying Data) 인증 우회(Bypassing Authentication) 원격 명령어 실행(Executing remote commands) 권한 상승(P..
-
클릭재킹(Clickjacking) 취약점Web Vulnerability 2020. 1. 27. 17:34
클릭재킹(Clickjacking) 취약점 1. 개요 클릭재킹은 iframe 요소와 CSS를 교묘하게 이용해 투명하게 만든 공격 대상 사이트를 함정 사이트와 서로 겹쳐서 사용자가 모르는 사이에 공격 대상 사이트의 기능을 클릭하도록 유도하는 공격 방법이다. 클릭재킹 페이지는 감춰진 링크를 사용자가 클릭함으로써 의도되지 않는 행동을 수행하게 속인다. 사용자는 실제로는 감춰진 페이지에서 행동을 수행하지만 자신은 보이는 버튼을 클릭했다고 생각한다. 감춰진 페이지는 인증 페이지일 수 있으며, 공격자는 사용자가 전혀 의도하지 않은 행동을 수행할 수 있다. 2. 발생 위치 마우스 등 입력 장치의 조작만으로 '중요한 처리'를 실행할 수 있고, 인증을 필요로 하는 페이지 3. 발생 원인 클릭재킹은 응용 프로그램의 버그가 ..
-
버퍼 오버플로우(Buffer Overflow)Web Vulnerability 2019. 3. 27. 14:41
버퍼 오버플로우(Buffer Overflow) 1. 정의1) 버퍼(Buffer) 란?- 데이터를 한 곳에서 다른 한 곳으로 전송하는 동안 일시적으로 그 데이터를 보관하는 메모리 영역임- 컴퓨터 안의 프로세스 사이에서 데이터를 이동시킬 때 사용됨- 키보드와 같은 입력 장치로부터 받거나 프린터와 같은 출력 장치로 내보낼 때 버퍼 안에 저장됨 2) 버퍼 오버플로우(Buffer Overflow) 란?- 메모리를 다루는 데에 오류가 발생하여 잘못된 동작을 하는 프로그램의 취약점임- 선언된 크기보다 더 큰 데이터를 기록함으로써 발생되는 현상임- 운영체제가 스택이나 힙 영역에 임의의 데이터 기록 및 실행을 허용함으로써 발생되는 현상임- 프로세스가 데이터를 버퍼에 저장할 때 프로그래머가 지정한 영역 외에 공간에 저장하..