티스토리 뷰
1. 크로스 사이트 스크립팅(XSS)
- 함정을 파둠. 사용하려는 화면과 동일한 화면을 보여주어 로그인 하는 사용자의 개인정보를 탈취
- 쿠키탈취. javascript로된 ... 를 넣으면 쿠키를 뺏을수 있다함
2. sql 인젝션
전송하는 sql을 바꾸는것, get방식일 때 조심해야 하는듯
3. os 커맨드 인젝션
쉘 스크립트 임의로 실행 하던지 파라미터 조작해서 실행시키는거
4. http 헤더 인젝션
공격자가 response 헤더 필드에 개행 문자 등을 삽입해서 임의의 response헤더 필드나 바디를 추가하는 수동적 공격
http 리스폰스 분할 공격 : http 헤더 인젝션을 응용한 공격으로, 삽입하는 만자열에 %0D%0A%0D%0A 이런식으로 개행문자를 나란히 보내서 http 헤더와 바디를 나누는 빈행을 만들어내고 가짜 바디를 표시함
5. 메일 헤더 인젝션
메일 송신기능에 공격자가 임의의 to OR subject 등의 헤더를 부정하게 추가
스팸메일, 바이러스 메일등을 보냄
6. 디렉토리 접근 공격
디렉토리 접근 가능하게 만들어 놓으면 그거 접근함
7. 리모트 파일 인클루션
스크립트 일부를 다른 파일에서 읽어올 때 공격자가 지정한 외부 서버의 url을 파일에서 읽게 해서 임의 스크립트 동작시킴
8. 강제 브라우징
공개 디렉토리에 있는 파일 중에서 공개 의도가 없는 파일이 열람되게 되는 취약성
웹 주소 접근 시 인증이 된 웹 주소만 접근하게 해야하는데, 이런 처리를 안했을 경우 접근하면서 생기는 취약성
9. 부적절한 에러 메세지
db 시스템 에러 메세지는 sql을 포함할 수 있어서 위험함
10.오픈 리다이렉트
java에서 쓰는 리다이렉트가 아니고, javascript 로 쓰는게 있나봄
지정한 임의의 url로 리다이렉트 하는기능
11. 세션 하이잭
유저의 세션 id를 입수해서 악용하는것 유저인척함
12. 세션 픽세이션
공격자가 지정한 세션 id를 유저에게 강제적으로 사용하게 하는 공격
13. 크로스 사이트 리퀘스트 포저리
인증된 유저가 의도하지 않는 개인 정보나 설정 정보 등을 공격자가 설치해 둔 함정에 의해 어떤 상태를 갱신하는 처리를 강제로 실행시키는 공격
14. 패스워드 크래킹
패스워드를 논리적으로 이끌어내서 인증을 돌파하는공격
15. 클릭 재킹
투명한 버튼이나 링크를 함정으로 유저가 의도하지 않게 클릭하게 함
16. DoS 공격
엑세스를 집중시킴으로써 부하를 걸어 리소스를 다 소비하게 해 사실상 서비스를 정지상태로 만든다
취약성을 공격해 서비스를 정지 시킨다
여러대에서 하는건 DDoS
17. 백도어
제한된 기능을 정규 절차를 밟지 않고 이용하기 위해 설치된 뒷문
- 개발단계에 디버그 용으로 추가한 백도어
- 개발자가 자기 자신의 이익을 위해서 추가한 백도어
- 공격자가 어떠한 방법을 써서 설치한 백도어