조주봉 화이트해커
입력데이터 검증 및 표현
문제점 : 사용자의 입력을 검증없이 그대로 받아들여 사용
해결방안 : 유효한 데이터만 허용되도록 필터링, 입력 값을 검증하여 검증된 데이터만 허용
사용자 요청에 의해 검증되지 않은 외부 입력 데이터(악의적/부적절한 스크립트)가 포함된 동적 웹페이지가 생성/전송되는 경우, 사용자가 해당 동적 웹페이지를 열람함으로써 웹페이지에 포함된 악의적/부적절한 스크립트가 실행되는 공격이다.
[공격 유형]
1. 사용자 정보 유출(피싱공격)
2. 사용자 세션 도용(Cookie Sniffing)
3. 악성코드 유포
4. Code 실행
5. 키로거
6. User DOS
[배경]
- 정적 페이지에서 동적 페이지로의 변화(Mail, Blog 등)
- Clien Side Script
- Cross Site Script (CSS->XSS)
- 사용자의 PC에서 실행(역추적 힘듬)
[보안대책]
특정 문자열 제거 or 치환
불필요한 "Tag" or "Script" 제거
DOM Object 재구성
주기적 패턴 업데이트(html5 등)
HttpOnly 권장
Cooxie Download
Cxi12Setup.exe
Cross Site Script(CSRF) 보안대책
-재인증
-일회용 토큰 사용
-CAPTCHA 사용
-Referer 체크
-GET -> POST 사용
-자동 로그인(기억) 사용 지양
'비공개 :(' 카테고리의 다른 글
| 서버 부하분산 구축 환경 (0) | 2018.07.20 |
|---|---|
| Reader X problem – Accept End User License Agreement (0) | 2014.02.26 |
| DB 서버 이전 시 체크리스트 (0) | 2013.12.31 |
| Metasploit을 이용한 모의 침투 (0) | 2013.11.22 |
