앞으로 "누구나 쉽게 따라하는 웹 취약점 진단 기술" 서적을 공부하며 취약점 하나하나에 대한 포스팅을 간단히 하여 같이 올려놓겠습니다.
아래의 웹 취약점 진단 항목(22개)는 "KISA의 취약점 진단 제거 가이드(2013.12)"의 내용을 참고 하여 작성되었다고 합니다.
(참고로 KISA의 취약점 진단 제거 가이드(2013.12)는 http://itlearner.tistory.com/315?category=788684<-에 올려 두었습니다.)
연번
|
코드
|
점검 항목
|
공격 피해
|
대응법
|
블로그 포스트 주소
|
1
|
OC
|
운영체제 명령 실행 |
시스템 장악 |
소스코드 시큐어 코딩 |
http://itlearner.tistory.com/317 |
2
|
SI
|
SQL 인젝션 |
DB 정보 유출 |
소스코드 시큐어 코딩 |
http://itlearner.tistory.com/318 |
3
|
XI
|
XPath 인젝션 |
사용자 인증 우회 |
소스코드 시큐어 코딩 |
|
4
|
DI
|
디렉토리 인덱싱 |
시스템 파일 노출 |
서버 보안 설정 변경 |
|
5
|
IL
|
정보 노출 |
서버 정보 노출 |
서버 보안설정 변경 및 시큐어 코딩 |
|
6
|
CS
|
악성 콘텐츠 |
악성 코드 감염 |
소스코드 시큐어 코딩 |
|
7
|
XS
|
XSS |
세션 하이재킹 및 악성코드 전파 |
소스코드 시큐어 코딩 |
|
8
|
BF
|
약한 문자열 강도 (Brute Force) |
사용자 계정 탈취 |
소스코드 시큐어 코딩 |
|
9
|
IN
|
불충분한 인증 및 인가 |
관리자 권한 탈취 |
소스코드 시큐어 코딩 |
|
10
|
PR
|
취약한 패스워드 복구 |
사용자 계정 탈취 |
소스코드 시큐어 코딩 |
|
11
|
SM
|
불충분한 세션 관리 |
사용자 권한 탈취 |
소스코드 시큐어 코딩 |
|
12
|
CF
|
CSRF |
사용자 권한 탈취 |
소스코드 시큐어 코딩 |
|
13
|
AU
|
자동화 공격 |
시스템 과부하 |
소스코드 시큐어 코딩 |
|
14
|
FU
|
파일 업로드 |
시스템 장악 |
소스코드 시큐어 코딩 |
|
15
|
FD
|
경로 추적 및 파일 다운로드 |
웹 서버 정보 노출 |
소스코드 시큐어 코딩 |
|
16
|
AE
|
관리자 페이지 노출 |
웹 사이트 정보 노출 |
서버 보안 설정 변경 |
|
17
|
PL
|
위치 공개 |
웹 사이트 정보 노출 |
서버 보안 설정 변경 |
|
18
|
SN
|
대이터 평문 전송 |
중요 정보 노출 |
소스코드 시큐어 코딩 |
|
19
|
CC
|
쿠키 변조 |
사용자 권한 탈취 |
소스코드 시큐어 코딩 |
|
20
|
MS
|
웹 서비스 메소드 설정 공격 |
시스템 장악 |
서버 보안 설정 변경 |
|
21
|
UP
|
URL/파라미터 변조 |
사용자 권한 탈취 |
소스코드 시큐어 코딩 |
|
22
|
ETC
|
기타 (웹 어플리케이션 취약점 및 오픈 포트 등) |
- |
- |
|
- 웹 취약점 진단 항목(22개) -
본 글은 "누구나 쉽게 따라하는 웹 취약점 진단 기술" 서적과 "KISA의 취약점 진단 제거 가이드(2013.12)"를 참고하여 작성하였습니다.