보안취약점 썸네일형 리스트형 피들러를 통한 변조 공격 방법 이전 글에서는 피들러 설치 및 설정 방법에 대하여 간략하게 설명드렸습니다. 이번 글에서는 피들러를 통하여 파라메터나 쿠키값을 변조하여 공격하는 방법에 대하여 알아보도록 하겠습니다. 1. 캡쳐해놓은 요청 전문을 변조하여 재 요청하는 방법 1-1. 캡쳐된 요청전문 클릭 -> Inspectors -> Headers -> Raw -> 팝업에서 요청전문 복사 1-2. Composer 탭에서 복사한 전문을 넣고, 쿠키값 및 파라메터등을 변조 한 후 Execute 버튼을 누릅니다. (POST 요청 전문일 경우 Request Body에 FormData를 추가 할 수 있습니다.) 1-3. Execute를 누르면, 변조된 요청값을 통한 Response 결과가 좌측에 표시되게 됩니다. 2. 요청 전문이 서버로 전달되기 이전.. 더보기 IIS Web.config에 설정해주어야 하는 보안 서버 설정 IIS를 사용하는 웹 서버의 경우, Web Application에 아래와 같은 설정을 추가로 해주시면 좋습니다. 1. 불필요한 소스 노출 방지 => 커스텀 에러페이지를 사용하여 불필요한 소스 노출을 방지 할 수 있습니다. 2. https를 사용하는 사이트의 경우, 특별한 경우가 아닌이상 http로 접속 시 https로 Redirect 해주는 모듈을 적용시켜주어야 합니다. => 단, https가 바인딩된 사이트여야 하며, 반드시 http ReWrite 모듈이 설치되어 있어야 합니다. 3. POST, GET 요청 Method만 허용 => DELETE, PUT 등의 Method는 허용하지 않도록 합니다. 4. 정적 리소스가 아닌 동적 리소스, 페이지 등은 캐싱 가능하지 않도록 설정해주어야 합니다. 5. 서버 .. 더보기 첨부파일 다운로드/업로드 취약점 게시글, 결재 문서 등 첨부파일을 업로드가 가능한 페이지 일 경우 업로드가 가능한 파일 확장자를 화이트 리스트로 관리하거나, 업로드가 불가능한 파일 확장자를 블랙 리스트로 관리하여야 합니다. 예를들어 사용자 정보를 탈취하는 악성 실행파일이 업로드가 가능하다고 가정해봅시다.악성 파일을 업로드 후 해당 파일의 URL을 브라우져에서 입력을 하게되면 악성파일이 실행되게 되며, 사용자 정보가 해커에게 고스란히 전달되게 됩니다. 악성 파일이 업로드가 가능하다고 할 지라도 URL 등을 통하여 실행을 하지 못하게 막는다면 사용자 정보가 유출되지는 않을것입니다. (물론악성 파일을 업로드 가능하게끔 허용하라는 말은 아닙니다.) 1. 첨부파일 업로드를 제한해야하는 확장자 (차후 리스트 갱신 예정) - 업로드가 불가능한 확장.. 더보기 Cross Site Scripting (XSS) Cross Site Scripting(XSS) 란? 게시글과 같은 페이지에, 공격자가 악성 스크립트를 삽입하여, 사용자의 정보를 탈취, 악성코드등을 유입시키는 공격을 말합니다. 이 공격의 특징으로는 사용자(클라이언트) 대상으로 이루어 진다는 점입니다. 1. XSS 공격 패턴 2. XSS 공격을 사전 예방하는 방법 2-1. 위험한 문자열을 인코딩하여 저장하거나, 인코딩하여 표시하는 방법 문자 인코딩 된 문자 & & > ' ' " " ( ( ) ) / / - 클라이언트에서 위험한 특수문자를 인코딩하는 함수123456//받은 입력값 특수문자 변환 처리function XFN_ChangeInputValue(pValue) { var strReturenValue = ""; strReturenValue = p.. 더보기 이전 1 다음
