19.세션 고정 1) 로그인 페이지 설명매번 로그인 시 세션 ID를 새로 발급하지 않고 고정된 세션 ID를 사용하는 취약점 발견 위치URL : http://192.168.74.129/php/login_proc.php파라미터 : PHPSESSID 취약점 검증 방법같은 IP로 로그인할 때마다 프록시툴로 응답 헤더에서 새 세션ID를 발급하는 것과 로그아웃 시 기존 세션ID를 파기하는지 확인한다. 증적 사진  20.자동화공격 1) 게시판 게시글 작성 설명게시판 게시글 작성 코드를 파이썬으로 작성하여 반복적으로 게시글을 작성할 수 있는 취약점 발견 위치URL : http://192.168.74.129/php/board_write_proc.php파라미터 : tit..

12.약한 문자열 강도 1) 로그인 페이지 일정 횟수(3~5회) 인증 실패 설명로그인 페이지에서 일정 횟수 이상 인증 실패 시 계정에 대한 제한이 없는 취약점 발견 위치URL : http://192.168.74.129/php/login_proc.php파라미터 : user_pass 취약점 검증 방법로그인 페이지에서 웹 사이트에 등록된 계정의 비밀번호를 틀리게 입력하여 총 5회 인증 실패 후 로그인을 시도하면 계정에 아무런 제한이 걸려있지 않음 증적 사진  2)  마이페이지 비밀번호 변경 설명마이페이지에서 비밀번호 변경 시 복잡도를 준수하지 않은 비밀번호로 변경할 수 있는 취약점 발견 위치URL : http://192.168.74.129/php/my_page_p..

5.SQL Injection 1) Blind SQL Injection [1] 로그인 페이지 설명로그인 페이지 user_id 파라미터에서 SQL 명령어 삽입 가능한 취약점 발견 위치URL : http://192.168.74.129/php/login_proc.php파라미터 : user_id 취약점 검증 방법user_id 파라미터에 '1'='1' and와 '1'='2' and를 입력했을 때 참일 경우 로그인에 성공하고 거짓일 경우 경고문이 발생하는 걸로 참과 거짓의 결과를 판단할 수 있어 Blind SQL Injection 공격으로 DB 데이터 추출이 가능함 증적 사진  8.디렉터리 인덱싱 1) upload_folder 설명업로드된 파일이 저장된 /php/upl..

프로젝트 목적   직접 개발한 웹 애플리케이션을 실무처럼 모의해킹하여 모의해킹 결과 보고서를 작성하고 보고서에 기재된 보안 권고안에 따라 직접 웹 애플리케이션 소스 코드를 보완하는 과정을 거친다. 이 과정에서 지식으로만 알고 있던 대응 방안들을 직접 구현함으로써 각 취약점 별 대응 방안에 대한 이해도를 높이는 효과를 누리도록 한다. 또한 시큐어 코딩 후에 해당 취약점이 방지됐는지 이행점검을 통하여 다시 한번 확인하는 과정을 통해 대응 방안을 체화시키도록 한다.   모의해킹 대상 : Project : Web Site 취약점 점검 대상 : Project : Web Site취약점 점검 대상 도메인 : http://192.168.74.129/php/취약점 판단 기준 : 주요정보통신기반시설 ..

프로젝트 일지   웹 사이트 기본 레이아웃부터 각 웹 페이지 디자인 작업까지 완벽하게는 아니지만 어느 정도 끝마쳤다. 웹 디자인 작업을 마치고 보니 지난번에 구현했던 파일 업로드/다운로드 기능이 미흡한 것을 확인하여 파일 업로드/다운로드 기능의 보완 작업을 할 예정이다.  이전 파일 업로드/다운로드 기능과 보완점    이전 파일 업로드/다운로드 기능에서는 게시글 작성 혹은 수정 시 파일을 업로드하면 웹 서버 내 upload_folder 디렉터리에 파일을 저장한다. 그러나 작성자 구분없이 업로드되는 모든 파일을 한 공간에 저장하다 보니 같은 이름을 가진 파일이 업로드되면 이전에 존재하던 파일이 덮어씌워져 다른 작성자가 피해를 입게 된다.   또한 게시글을 삭제한 후에도 업로드한 파일..

프로젝트 일지   남은 페이지인 게시판 페이지와 게시글 상세정보 페이지를 디자인한다.  게시판 페이지    게시판 페이지에서 작성된 게시글 위에 커서를 올리게 되면 흰색에서 회색으로 변하게 된다. 또한 현재 사용자가 게시글을 읽었을 때 읽은 표시를 게시글의 제목으로 표시를 하였다. 한 번이라도 읽은 게시글의 제목은 회색으로 변한다.    또한 버튼과 페이지 위에 커서를 올리게 되면 색이 변하게 된다. 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535..