Security3 SQL Injection SQL Injection 개념 SQL Injection 보안상 취약점을 이용하여 SQL문을 주입하여 실행하게 하여 DB가 비정상적으로 동작하도록 하는 공격 공격 기법 Error Based SQL Injection 논리적 에러를 이용한 공격 예제 where id = 뒤쪽에 or 1=1—를 넣어 로그인할 때 user table 모두 조회 가능 Union based SQL Injection 두 개의 쿼리문에 대한 결과를 통합해 하나의 테이블로 보여주게 하는 키워드 정상적인 쿼리문에 하나의 추가 쿼리를 삽입하여 원하는 정보 획득 테이블 칼럼 수와 데이터 형이 같아야 한다. 예제 게시글 조회에서 칼럼 수에 맞춰 union select null, id, password from users — 삽입 사용자의 id, .. 2023. 3. 8. XSS & CSRF XSS & CSRF 개념 XSS(Cross site scripting) 사용자가 특정 웹사이트를 신용하는 점을 노려 클라이언트를 공격대상으로 하는 악성공격 사이트 변조나 백도어를 활용하여 클라이언트 공격 CSRF(Cross Site Request Forgery) 특정 웹사이트가 사용자의 웹 브라우저 상태를 신용하는 점을 노린 서버 대상 악성 공격 요청을 위조하여 사용자의 권한을 이용하여 서버에 대하여 공격 공격 과정 및 대응 XSS 웹사이트 관리자가 아닌 이가 웹사이트에 악성 스크립트를 삽입할 수 있는 취약점으로 발생하는 공격 웹 애플리케이션이 사용자로부터 받은 입력 정보를 제대로 검사하지 않은 경우 발생 취약점을 통해 사용자의 정보 탈취 및 비정상적인 기능 수행 대응 필터 제작 입력값에 대해 필터를 거.. 2023. 3. 7. Encryption 암호화 대칭키와 비대칭키 대칭키 양측이 암복호화하는 데 필요한 키를 동일한 키로 가지는 것 대표적인 알고리즘 DES, 3DES, AES, SEED, ARIA 속도가 비대칭키보다 빠르다. 대칭키의 단점은 키를 전달하는 과정에 있다. 키를 전달하는 과정에서 탈취당하면 보안상 위험 이것을 해결하기 위해 공개키를 사용해서 대칭키를 암호화할 수 있다. 비대칭키 대칭키 단점을 극복하기 위해 모든 사람이 접근할 수 있는 공개키와 사용자가 가지는 개인키를 사용 키를 분배할 필요가 없어 보안에 더욱 좋다. 단점은 암복호화하는 속도가 상대적으로 느리다. 단방향 암호화 개념 암호화만 가능하고 복호화가 불가능한 방식 비밀번호를 암호화하여 DB에 저장하고 사용자에게 비밀번호를 받아 암호화하여 비교하는 방식 유저가 비밀번호를 잃.. 2023. 3. 6. 이전 1 다음