(주)비아웹 웹호스팅, 도메인, 서버호스팅

웹 취약점 공격 기법

• 크로스 사이트 스크립팅 (XSS : Cross Site Scripting) 악성스크립트가 삽입된 게시글 클릭을 유도하여 사용자의 정보를 탈취하는 방법
• SQL 인젝션 (SQL Injection Flaws) 서버에 특정 SQL문을 입력하여 데이터베이스에 접근, 회원정보 등을 유출할 수 있는 공격
• 악성 파일 실행 (Insecure Remote File Include) 공격자가 악성 스크립트를 서버에 전달해서 해당 페이지를 통해 전달한 악성 스크립트 코드가 실행되도록 하는 공격
• 불안전한 직접 객체 참조 (Unsecure Direct Object Reference) 디렉터리 탐색은 웹 브라우저에서 확인 가능한 경로의 상위로 탐색하여 특정 시스템 파일을 다운로드하는 공격 방법
• 크로스 사이트 요청 참조 (CSRF : Cross Site Request Forgery) XSS와 비슷하지만 악성 스크립트가 삽입된 게시글을 클릭하게 되면 사용자가 의도하지 않은 행위, 즉 글쓰기가 되거나 혹은 물품 구매가 되도록 하는 공격 방법
• 정보유출 및 부적절한 오류 처리 (Information leakage and Improper Error Handlling) 어플리케이션들은 에러메시지 정보를 이용하여 취약점 노출 시키는 공격 기법
• 취약한 인증 및 세션 관리 인증과 세션 관리와 연관된 어플리케이션 기능이 올바르게 구현되지 않아, 공격자로 하여금 다른 사용자로 가장하여 패스워드, 키, 세션, 토큰 체계를 위태롭게 하거나,
  구현된 다른 결함들을 악용할 수 있도록 허용
• 불안한 암호화 저장 악의적인 공격자가 암호화되지 않은 데이터를 획득하여 명의 도용이나 신용카드 사기 발생