swk의 지식저장소

1. CSRF(Cross-site request forgery)1.1 정의 사이트 간 요청 위조(또는 크로스 사이트 요청 위조, 영어: Cross-site request forgery, CSRF, XSRF)는 웹사이트 취약점 공격의 하나로, 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말한다. 유명 경매 사이트인 옥션에서 발생한 개인정보 유출 사건에서 사용된 공격 방식 중 하나다. 사이트 간 스크립팅(XSS)을 이용한 공격이 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면, 사이트간 요청 위조는 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것이다. 일단 사용자가 웹사이트에 로그인한 상태에서 사이트간 요청 위조..

1. XSS(Cross Site Scripting)1.1 정의 사이트 간 스크립팅(또는 크로스 사이트 스크립팅, 영문 명칭 cross-site scripting, 영문 약어 XSS)은 웹 애플리케이션에서 많이 나타나는 취약점의 하나로 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점이다. 주로 여러 사용자가 보게 되는 전자 게시판에 악성 스크립트가 담긴 글을 올리는 형태로 이루어진다. 이 취약점은 웹 애플리케이션이 사용자로부터 입력 받은 값을 제대로 검사하지 않고 사용할 경우 나타난다. 이 취약점으로 해커가 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 자동으로 비정상적인 기능을 수행하게 할 수 있다. 주로 다른 웹사이트와 정보를 교환하는 식으로 작동하므로 사이트 간 스크립..

1. 세션 하이재킹1.1 정의 세션 하이재킹 공격은 두 시스템 간 연결이 활성화된 상태, 즉 로그인된 상태를 가로채는 것을 말한다. 서버와 클라이언트가 TCP를 이용해서 통신하고 있을 때, RST 패킷을 보내 일시적으로 TCP 세션을 끊고 시퀀스 넘버를 새로 생성해 세션을 빼앗아 인증을 회피하는 공격이다. 세션 하이재킹은 세션 가로채기라고 한다. 세션이 사용자와 컴퓨터, 또는 두 대의 컴퓨터 간의 활성화된 상태를 나타낸다. 가장 쉬운 세션 하이재킹은 누군가 작업을 하다가 잠시 자리를 비운 PC를 몰래 사용해 원하는 작업을 하는 것이다. 1.2 위험성시스템을 침투하는 방법 중에서 가장 어려운 분야 중에 하나가 정당한 접근 권한을 획득하기 위한 패스워드를 얻는 일이다. 정당한 접근 권한을 획득한 사용자가 패..

1. 스니핑1.1 정의 패킷 가로채기 또는 스니핑(snipping)은 네트워크 통신 내용을 도청하는 행위이다. 이때 사용되는 도구를 패킷 분석기(packet analyzer/network analyzer) 또는 패킷 스니퍼(packet sniffer/network sniffer)라고 하며, 네트워크의 일부나 디지털 네트워크를 통하는 트래픽의 내용을 저장하거나 가로채는 기능을 하는 소프트웨어 또는 하드웨어이다. 프로토콜 분석기라고도 불리며, 특정한 종류의 네트워크에서는 이더넷 스니퍼(ethernet sniffer) 또는 무선 스니퍼(wireless sniffer)라고 불린다. 데이터 스트림은 네트워크를 통해 흐르며, 스니퍼는 각 패킷을 잡아 내서 디코딩하여, 적절한 RFC나 다른 규격에 따라 내용을 분석한..

1. 웹 해킹1.1 정의웹 해킹(영어: web hacking)은 웹 사이트의 취약점을 공격하는 기술적 위협으로, 웹 페이지를 통하여 권한이 없는 시스템에 접근하거나 데이터 유출 및 파괴와 같은 행위를 말한다. 1.2 위험성 1. 최근 발생하는 모든 Hacking 중 75% 이상이 Web Application의 취약성을 악용한 공격이다. 2. Web Application 계층의 공격은 방화벽, 침입탐지시스템, 침입차단시스템 등으로 방어할 수 없다. 3. e-business를 위해서 80포트는 오픈 될 수 밖에 없다. 4. Web Application 계층의 악의적인 공격은 24시간 365일 운영되어야 하는 Web Service를 중단시킬 수 있다. 1.3 공격법XSS - XSS(Cross-Site Scri..