웹해킹 (3) 리스트형 [정보보안] 인증과 세션을 이용한 웹애플리케이션 공격 웹 애플리케이션에 인증하면 개인화된 브라우징을 하게 되고, 한편 세션 관리 시스템은 모든 요청과 응답내용을 추적하고 관리하여 쇼핑이나 지불 결제와 같은 다단계 행위를 할 수 있도록 돕습니다. 말하자면 같은 냄비 안에 든 두가지 콩이라고 할만합니다. 애초에 HTTP 프로토콜은 이전 상태를 추적하지 않는 프로토콜로 만들어졌기 때문에 인증이나 세션 관리 모두 고려되지 않았습니다. 하지만 인터넷이 무르익어가면서 이 두 가지 특성이 더 많이 이용됨에 따라 상황은 더욱 복잡해 졌습니다. 불행히도 인증과 세션 관리는 많은 웹 애플리케이션을 취약하게 만든 셈입니다. 그 각각을 공격하는 도구와 기술은 조금 다르지만 서로 밀접합니다. 경로 횡단 공격은 웹 서버의 디렉토리 구조에 접근할 권한이 있을 때 발생하게 됩니다. 이.. [정보보안] 가장 흔한 웹 취약점 주입 공격주입공격의 문제점은 사용자의 신뢰되지 않은 데이터가 명령이나 또는 질의의 일부로 웹 애플리케이션에 바로 전달될 때 발생합니다. 공격자는 웹 애플리케이션을 속여 의도치 않은 명령을 수행하게 하거나 권한 없는 자료에 접근하도록 합니다. 주입공격은 해커가 웹애플리케이션에 먹인 악성 입력 값이 안전하지 않은 방식으로 작용할 때 일어납니다. 이것은 웹 애플리케이션을 공격하는 아주 오래된 방법 중 하나지만, 널리 퍼져 있고 대단히 파괴적이기 때문에 여전히 최고의 공격법입니다. 주입공격의 취약점은 웹 애플리케이션에서 사용자가 악의적으로 입력할 수 있는 곳이면 어디서나 발생할 수 있습니다. 가장 흔히 알려진 주입공격은 다음과 같은 기능을 목표로 합니다. 1. 구조화 조회 원어(Structured Query L.. [정보보안] 웹해킹의 기초 백엔드 프로그래밍에서 중요한 부분을 꼽자면, 보안처리도 매우 중요합니다. 보안을 알려면, 결국 해킹을 알아야해서, 오늘 포스팅은 웹해킹에 대한 포스팅입니다. 보안 코딩시 훨씬 이해가 수월하겠죠. 공격에 필요한 업무는 다음 네 가지 단계로 구분됩니다. 1. 사전 조사2. 취약점 스캐닝3. 공격하기4. 문제점 고치기 이러한 취약점과 공격 방법을 완화시키는 방법을 검토하여 문제점을 고치는 단계에서의 해결이 필요합니다. 모의해킹을 하거나 윤리적인 공격을 할 때에도 알려진 취약점을 어떻게 해결할 것인가에 관한 의문을 갖게 될 것입니다. 문제점을 고치는 단계에서 해당 질문에 대한 답이 내려집니다. * 해킹의 목표로 하는 것들 서로 연관있는 세 가지 공격 벡터로 웹 서버, 웹 애플리케이션, 웹 사용자를 목표로 합니다.. 이전 1 다음