티스토리 뷰

network

웹 공격 기술

pakker 2020. 9. 25. 17:47

1. 크로스 사이트 스크립팅(XSS)

- 함정을 파둠. 사용하려는 화면과 동일한 화면을 보여주어 로그인 하는 사용자의 개인정보를 탈취

- 쿠키탈취. javascript로된 ... 를 넣으면 쿠키를 뺏을수 있다함 

 

2. sql 인젝션

전송하는 sql을 바꾸는것, get방식일 때 조심해야 하는듯

 

3. os 커맨드 인젝션

쉘 스크립트 임의로 실행 하던지 파라미터 조작해서 실행시키는거

 

4. http 헤더 인젝션

공격자가 response 헤더 필드에 개행 문자 등을 삽입해서 임의의 response헤더 필드나 바디를 추가하는 수동적 공격

http 리스폰스 분할 공격 : http 헤더 인젝션을 응용한 공격으로, 삽입하는 만자열에 %0D%0A%0D%0A 이런식으로 개행문자를 나란히 보내서 http 헤더와 바디를 나누는 빈행을 만들어내고 가짜 바디를 표시함

 

5. 메일 헤더 인젝션

메일 송신기능에 공격자가 임의의 to OR subject 등의 헤더를 부정하게 추가

스팸메일, 바이러스 메일등을 보냄

 

6. 디렉토리 접근 공격

디렉토리 접근 가능하게 만들어 놓으면 그거 접근함

 

7. 리모트 파일 인클루션

스크립트 일부를 다른 파일에서 읽어올 때 공격자가 지정한 외부 서버의 url을 파일에서 읽게 해서 임의 스크립트 동작시킴

 

 8. 강제 브라우징

공개 디렉토리에 있는 파일 중에서 공개 의도가 없는 파일이 열람되게 되는 취약성

웹 주소 접근 시 인증이 된 웹 주소만 접근하게 해야하는데, 이런 처리를 안했을 경우 접근하면서 생기는 취약성

 

9. 부적절한 에러 메세지

db 시스템 에러 메세지는 sql을 포함할 수 있어서 위험함

 

10.오픈 리다이렉트

java에서 쓰는 리다이렉트가 아니고, javascript 로 쓰는게 있나봄

지정한 임의의 url로 리다이렉트 하는기능

 

11. 세션 하이잭

유저의 세션 id를 입수해서 악용하는것 유저인척함

 

12. 세션 픽세이션

공격자가 지정한 세션 id를 유저에게 강제적으로 사용하게 하는 공격

 

13. 크로스 사이트 리퀘스트 포저리

인증된 유저가 의도하지 않는 개인 정보나 설정 정보 등을 공격자가 설치해 둔 함정에 의해 어떤 상태를 갱신하는 처리를 강제로 실행시키는 공격

 

14. 패스워드 크래킹

패스워드를 논리적으로 이끌어내서 인증을 돌파하는공격

 

15. 클릭 재킹

투명한 버튼이나 링크를 함정으로 유저가 의도하지 않게 클릭하게 함

 

16. DoS 공격

엑세스를 집중시킴으로써 부하를 걸어 리소스를 다 소비하게 해 사실상 서비스를 정지상태로 만든다

취약성을 공격해 서비스를 정지 시킨다

여러대에서 하는건 DDoS

 

17. 백도어

제한된 기능을 정규 절차를 밟지 않고 이용하기 위해 설치된 뒷문

- 개발단계에 디버그 용으로 추가한 백도어

- 개발자가 자기 자신의 이익을 위해서 추가한 백도어

- 공격자가 어떠한 방법을 써서 설치한 백도어

 

 

 

'network' 카테고리의 다른 글

https  (0) 2020.09.23
통신중계  (0) 2020.09.22
http 상태코드  (0) 2020.09.22
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
TAG
more
«   2024/11   »
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
글 보관함