[도서 정리] 51. 크로스 사이트 스크립팅(XSS) - 보안의 기본 51. 크로스 사이트 스크립팅(XSS) - 보안의 기본 -크로스 사이트 스크립팅(Cross Site Scripting:XSS)는 한 마디로 동적 웹 페이지나 웹 앱의 취약성을 악용한 공격 수법이다.동적 웹 페이지란 사용자의 입력 내용이나 조작 내용에 따라 표시 내용이 변하는 웹 페이지이다. -크로스 사이트 스크립팅의 구조를 이해하기 위해서 가장 먼저 이해해야 할 것은 악의를 가진 공격자가 직접 여러분의 브라우저(PC)를 공격하는 것이 아니다라는 점이다. 1. 공격자는 미끼 페이지를 준비2. 사용자가 미끼 페이지에 엑세스3. 사용자가 부정한 파라미터를 포함한 링크를 클릭4. 스크립트를 포함하여, 정규 페이지에 엑세스5. 정규 페이지 웹 서버는 응답을 반환.6. 응답에 포함된 스크립트가 사용자의 브라우저에서.. 2019. 11. 30. [도서 정리] 50. OS 커맨드 인젝션 - 보안의 기본 50. OS 커맨드 인젝션 - 보안의 기본 * OS 커맨드 인젝션이란? -OS 커맨드 인젝션은 SQL 인젝션과 마찬가지로 인젝션 공격의 일종이다.인젝션 공격은 앱에 대한 데이터 입력을 악용하여 앱이 호출하는 외부 시스템을 의도하지 않은 형태로 조작하는 공격이다.SQL 인젝션의 경우 공격 대상이 DB 였지만, OS 커맨드 인젝션의 경우는 공격대상이 OS 쉘이 된다. -쉘은 OS의 커맨드를 실행하는 환경이다.쉘을 부정으로 조작할 수 있다는 것은 OS 가 실행할 수 있는 다양한 일, 예를 들면 파일의 참조, 편집, 삭제, 임의의 프로그램 실행 등이 공격자에 의해 가능해 진다는 것이다. * OS 커맨드 인젝션의 실행 방법과 대책 -OS 커맨드 인젝션은 OS 의 쉘을 호출할 수 있는 프로그래밍 언어(Perl 이나.. 2019. 11. 29. [도서 정리] 49. SQL 인젝션 - 보안의 기본 49. SQL 인젝션 - 보안의 기본 -SQL 인젝션이란 웹 앱에 대한 입력을 악용하여, 앱의 뒤에서 작동하는 DB 에 부정으로 엑세스하는 공격이다.SQL 인젝션이 성공하면 공격자는 거의 자유롭게 DB를 조작할 수 있게 되므로 부정 액세스나 정보의 절취 및 변조, 파괴 등이 가능해진다. * SQL 인젝션의 구조 -SQL 중 사용자가 입력하는 부분이 비어 있는 형태로, 입력 값을 채워 넣는 방식을 잘 사용한다.앱에 입력하는 값을 부정으로 조작함으로써 SQL 의 조회 내용을 자유롭게 바꿀 수 있는 경우가 있다. * SQL 인젝션을 허용하는 취약성과 대책 -SQL 인젝션이 일어나는 원인은 사용자의 입력에 DB 에 대한 조회 내용이 단순한 빈칸 채우기의 범위를 넘어 자유롭게 바꿀 수 있게 되어 있는 취약성에 있.. 2019. 11. 28. [도서 정리] 48. 버퍼 오버플로 - 보안의 기본 48. 버퍼 오버플로 - 보안의 기본 -소프트웨어에 대한 입력을 저장하는 영역(버퍼)을 넘치게 하는 것(오버플로)으로, 시스템에 의도하지 않은 행동을 시키는 공격이다.앱이나 컴퓨터를 다운시키거나 컴퓨터에서 임의의 프로그램을 실행 가능하게 한다.임의의 프로그램이 실행 가능하게 되는것(즉, 빼앗긴 상태)은 상당히 위험하다. * 버퍼 오버플로의 구조 -실행중인 프로그램에 입력한 데이터는 컴퓨터의 메모리상에 확보된 버퍼(미리 정해진 크기로 확보)에 쓰여진다.본래 입력 데이터는 그 확보된 크기에 맞게 들어가야 한다그런데 사이즈 체크가 되어 있지 않으면 사이즈보다 큰 데이터는 인접한 영역에 덮어 쓰여지게 되어 있다.버퍼의 인접 영역에는 컴퓨터의 프로그램 실행을 제어하기 위한 번지(주소)가 쓰여져 있는 경우가 많은데.. 2019. 11. 27. [도서 정리] 47. 중간자 공격 - 보안의 기본 47. 중간자 공격 - 보안의 기본 -중각자(Man In The Middle: MITM) 공격은 통신 중간에서 공격자가 통신을 수신하여 비밀정보를 도청하거나 경우에 따라서는 통신 내용을 몰래 변조하는 공격이다.중간자 공격은 모든 종류나 형태의 2자간 통신에 있어서 적용 가능한 범용적인 공격이다. * 웹 엑세스의 중간자 공격의 예 -브라우저와 웹 서버 간의 통신에 있어 전형적인 것은 프록시 타입이다.프록시는 데이터의 송수신을 중계하는 기기로, 조직 내부에서 인터넷에 연결할 때 엑세스처를 제어할 목적으로 사용한다.하지만 이를 공격자가 사용하면 통신 데이터를 일단 수취하게 되므로 데이터의 내용을 보거나 중계처에게 송신하기 전에 데이터의 내용을 바꿔 쓸 수 있다.이것이 프록시를 사용한 중간자 공격이다. -프록시.. 2019. 11. 26. [도서 정리] 46. 드라이브 바이 다운로드 - 보안의 기본 46. 드라이브 바이 다운로드 - 보안의 기본 -드라이브 바이 다운로드(Drive-by Download)는 브라우저 등을 경유하여 사용자의 PC 에 몰래 그리고 강제적으로 멀웨어를 다운로드시켜 설치하는 공격 방법이다.사용자 측에서 보면 평소대로 항상 사용하는 브라우저에서 정식 사이트에 엑세스했을 뿐인데 어느 새 자신의 PC 가 멀웨어에 감염되어 버리기 때문에 그런 상황을 깨닫지 못한다는 특징이 있다. -드라이브 바이 다운로드에서는 공격을 효율적으로 하기 위해 많은 사람이 엑세스하는 사이트에 멀웨어를 심어 넣는 경우가 많다. (많은 사람이 엑세스하는 사이트로 표적을 좁혀 덫을 놓는 공격방법을 대기형 공격이라고 한다.) -드라이브 바이 다운로드는 상당히 인기가 많은 공격 방법이며, DDoS 공격을 하기 위한.. 2019. 11. 25. [도서 정리] 45. 표적형 공격 - 보안의 기본 45. 표적형 공격 - 보안의 기본 -표적형 공격이란 특정 조직이나 기업을 표적으로 한 공격이다.일반적인 멀웨어나 무차별 대입 공격과는 달리 특정 상대로 특화된 공격이다.표적형 공격은 교묘하고 지속적으로 일어나기 때문에 Advanced Persistent Threat(APT: 고도로 집요한 위협)이라고 부른다. * 표적형 공격의 수법과 특징 -1. 공개되어 있는 주소로 표적형 메일을 보내 멀웨어 A에 감염시킨다.2. 멀웨어 A를 사용하여 조직 내부의 주소를 얻는다.3. 조직 내부 주소용으로 표적형 메일을 보내 멀웨어 B에 감염시킨다.4. 멀웨어 B를 이용하여 목적하는 정보를 얻는다. -표적형 메일에서는 대상이 된 조직에서 흔히 주고 받음직한 메일 제목이나 내용을 붙임으로써 수취한 사람이 그만 부주의하게 .. 2019. 11. 24. [도서 정리] 44. 대기형 공격 - 보안의 기본 44. 대기형 공격 - 보안의 기본 -대기형 공격이라는 이름은 사자가 우물에서 물을 마시러 오는 동물을 기다리고 있는 모습에서 유래한다.즉, 공격자(사자)가 공격 대상인 사용자(동물)를 자주 액세스하는 사이트(우물)로 표적을 좁히고 공격을 해 오는 공격 수법이다.효율적이고 보다 많은 대상자에게 피해를 줄 수 있게 된다. * 대기형 공격의 기본 흐름 -1. 많은 사용자가 액세스하는 사이트(우물)을 특정한다.2. 대상 사이트(우물)에 취약성이 없는지 조사하여 취약성이 있으면 공격을 가한다.3. 사용자는 정식 사이트에 엑세스하고 있다고 생각하여 눈치채지 못한 채로 멀웨어에 감염된다. -웹 사이트의 취약성 공격은 크로스 사이트 스크립팅 취약성, 드라이브 바이 다운로드, SQL 인젝션 취약성 등을 이용한다.(드라.. 2019. 11. 23. [도서 정리] 43. 스팸 메일 - 보안의 기본 43. 스팸 메일 - 보안의 기본 * 왜 스팸 메일이 오는가? -메일 주소를 가르쳐 준 사람에게서 유출.인터넷 상에서 기계적으로 수집.사전 및 무차별 대입 공격 * 스팸 메일의 각종 폐해 -스팸 메일은 약물이나 만남 광고에 사용되는 것뿐만 아니라 최근에는 메일에 첨부 파일을 붙여서 파일을 열면 바이러스에 감염되는 악질적인 것도 있습니다.이러한 멀웨어 첨부 메일은 표적형 공격에도 악용된다. * 스팸 메일을 막을 방법은 없는가? -스팸 메일이나 메일에 의한 피해를 완전히 막는 방법은 없다.특정 도메인의 착신을 거부하거나 수상한 메일을 기계적으로 선별하는 메일 필터링 기능을 잘 활용하여 가능한 한 스펨 메일을 줄이는 것이 필요하다.또한 수상한 메일의 첨부 파일은 열지 않도록 주의하는 것이 중요하다. 43. 스.. 2019. 11. 22. 반응형 이전 1 ··· 29 30 31 32 33 34 35 ··· 242 다음