분류 전체보기(170)
-
[Web Application-모의해킹] SQL Injection : 대응 방안 #3-1
대응 방안 (feat.주요통신기반시설) 1) 점검 방법 SQL Injection 취약점을 점검하는 방법은 다음과 같다. 사용자 입력 값에 특수문자나 임의의 SQL 쿼리를 삽입하여 DB 에러 페이지가 반환되는지 확인사용자 입력 값에 임의의 SQL 참, 거짓 쿼리를 삽입하여 참, 거짓 쿼리에 따라 반환되는 페이지가 다른지 확인로그인 페이지에 참이 되는 쿼리를 전달하여 로그인되는지 확인 2) 보안설정방법 SQL Injection 취약점에 대한 대응 방안은 다음과 같다. SQL 쿼리에 사용되는 문자열의 유효성 검증 로직 구현시스템에서 제공하는 에러 메시지 및 DBMS에서 제공하는 에러 코드가 노출되지 않도록 예외 처리Prepared Statement 1. S..
2024.04.25 -
[Web Application-모의해킹] 증적 사진 분류 19, 20, 22, 27 #2-3
19.세션 고정 1) 로그인 페이지 설명매번 로그인 시 세션 ID를 새로 발급하지 않고 고정된 세션 ID를 사용하는 취약점 발견 위치URL : http://192.168.74.129/php/login_proc.php파라미터 : PHPSESSID 취약점 검증 방법같은 IP로 로그인할 때마다 프록시툴로 응답 헤더에서 새 세션ID를 발급하는 것과 로그아웃 시 기존 세션ID를 파기하는지 확인한다. 증적 사진 20.자동화공격 1) 게시판 게시글 작성 설명게시판 게시글 작성 코드를 파이썬으로 작성하여 반복적으로 게시글을 작성할 수 있는 취약점 발견 위치URL : http://192.168.74.129/php/board_write_proc.php파라미터 : tit..
2024.04.22 -
[Web Application-모의해킹] 증적 사진 분류 12, 13, 15, 17 #2-2
12.약한 문자열 강도 1) 로그인 페이지 일정 횟수(3~5회) 인증 실패 설명로그인 페이지에서 일정 횟수 이상 인증 실패 시 계정에 대한 제한이 없는 취약점 발견 위치URL : http://192.168.74.129/php/login_proc.php파라미터 : user_pass 취약점 검증 방법로그인 페이지에서 웹 사이트에 등록된 계정의 비밀번호를 틀리게 입력하여 총 5회 인증 실패 후 로그인을 시도하면 계정에 아무런 제한이 걸려있지 않음 증적 사진 2) 마이페이지 비밀번호 변경 설명마이페이지에서 비밀번호 변경 시 복잡도를 준수하지 않은 비밀번호로 변경할 수 있는 취약점 발견 위치URL : http://192.168.74.129/php/my_page_p..
2024.04.22 -
[Web Application-모의해킹] 증적 사진 분류 5, 8, 9, 11 #2-1
5.SQL Injection 1) Blind SQL Injection [1] 로그인 페이지 설명로그인 페이지 user_id 파라미터에서 SQL 명령어 삽입 가능한 취약점 발견 위치URL : http://192.168.74.129/php/login_proc.php파라미터 : user_id 취약점 검증 방법user_id 파라미터에 '1'='1' and와 '1'='2' and를 입력했을 때 참일 경우 로그인에 성공하고 거짓일 경우 경고문이 발생하는 걸로 참과 거짓의 결과를 판단할 수 있어 Blind SQL Injection 공격으로 DB 데이터 추출이 가능함 증적 사진 8.디렉터리 인덱싱 1) upload_folder 설명업로드된 파일이 저장된 /php/upl..
2024.04.21 -
[Web Application-모의해킹] 모의해킹 #1
프로젝트 목적 직접 개발한 웹 애플리케이션을 실무처럼 모의해킹하여 모의해킹 결과 보고서를 작성하고 보고서에 기재된 보안 권고안에 따라 직접 웹 애플리케이션 소스 코드를 보완하는 과정을 거친다. 이 과정에서 지식으로만 알고 있던 대응 방안들을 직접 구현함으로써 각 취약점 별 대응 방안에 대한 이해도를 높이는 효과를 누리도록 한다. 또한 시큐어 코딩 후에 해당 취약점이 방지됐는지 이행점검을 통하여 다시 한번 확인하는 과정을 통해 대응 방안을 체화시키도록 한다. 모의해킹 대상 : Project : Web Site 취약점 점검 대상 : Project : Web Site취약점 점검 대상 도메인 : http://192.168.74.129/php/취약점 판단 기준 : 주요정보통신기반시설 ..
2024.04.21 -
[모의해킹 프로젝트] R Com : 보고서 #3 2024.03.27