AOC55

사내 교육 시, 교육 받았던 내용에 대해서 간단히 정리한 내용임. > 주의사항 1편 접근 제어 및 권한 관리 부적절한 인증/인가 정의/원인 - 인증(신원 식별)과 인가(자원 권한 확인)가 제대로 진행되지 않아 발생하는 취약점 - 접근 불가능한 시스템 자원, 권한 없는 메뉴, 결제 금액 변조 등 수행 가능 대응방안 - ACL(Access Control List)을 이용하여 권한에 따라 적절한 기능 사용 - 서버측에서 권한 체크 - 파라미터 최소화 및 세션 활용 - 중요 정보는 암호화 - 최종 단계에서 인증 및 권한 체크 -(결제 금액 등은 클라이언트 사용된 값이 아닌 서버측 값을 사용, 클라이언트 값 사용하려면 서버측에서 크로즈 검증) 쿠키 및 세션 관리 정의/원인 - 세션ID를 탈취하여, 공격자가 해당 ..

사내 교육 시, 교육 받았던 내용에 대해서 간단히 정리한 내용임. > 주의사항 2편 입력값 검증 부분 SQL Injection 정의/원인 - SQL문 Code Injection 기술로 악의적인 SQL문 주입하여 비정상적인 동작 유도 (ex OR 1=1) - 입력데이터에 대한 유효성 검증을 하지 않고 DB쿼리 일부로 사용하는 경우 대응방안 - 정적 쿼리를 사용하여, 쿼리문 구조 변경 방지 - 특수문자 및 키워드 필터링 처리 - 500 에러를 통한 오류정보 노출 방지 XSS 정의/원인 - 악의적인 스크립트가 웹사이트에 주입되어 공격하는 취약점 - 외부에서 입력된 값, 외부에서 입력된 정보를 갖고 있는 DB를 사용하여 동적페이지 생성 시 악의적인 스크립트를 응답의 일부로 사용하여 발생 1) Reflective..