ㅡ.ㅡ

※ 검증되지 않은 리다이렉트 취약점 다른 페이지로 연결(리다이렉트, 포워드)하기 위한 목적 페이지를 결정하기 위해 신뢰되지 않은 데이터를 사용하는데 이에 대한 적절한 검증이 없다면 공격자는 리다이렉트되는 파라미터 값을 변조 후 해당 링크를 통해 사용자를 피싱, 악성코드 사이트로 연결시키며 권한이 없는 페이지에 접근하는데 사용할 수 있는 취약점이다. ※ 실습 url파라미터를 통해 외부 페이지로 이동하는 웹 페이지의 기능과 소스코드를 확인할 수 있다. ▼ 리다이렉트 되는 URL 파라미터 값을 네이버 페이지로 변경 후 요청 후 OK 버튼을 클릭한 결과로 로그를 확인해 보면 네이버 페이지로 이동되는것을 확인할 수 있다. ▼ ※ 대응방안 리다이렉트되는 파라미터의 입력 값을 안전한 URL목록을 생성 후 화이트리스트..

X-FRAME-OPTION HTML 인젝션을 통해 클릭 재킹 공격에 활용되는 , , 태그를 통해 외부 페이지를 삽입하였을 때 외부 페이지가 렌더링되지 않도록 방지하는 HTTP 응답 헤더 이다. 속성 내용 DENY 프레임을 표시 하지 않음 SAMEORIGIN 동일한 도메인의 프레임만 표시 ALLOW-FROM 지정한 도메인의 프레임만 표시 X-XSS-Protection 브라우저에서 제공하는 기능으로 XSS 공격을 감지 할 때 페이지 로드를 중지시키는 헤더이다. 속성 내용 0; XSS 필터링 비활성화 1; XSS 필터링 활성화 1; mode=block XSS 필터링 활성화 후 XSS 공격 감지 시 렌더링 중단 1; report= XSS 필터링 활성화 후 XSS 공격 감지 시 렌더링 중단 후 보고

OWASP 소프트웨어 보안 향상에 중점을 둔 전 세계 비영리 자선 단체로 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구한다. OWASP TOP 10 웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들 10가지를 선정한 문서로 항목은 아래 표와 같다. A1 A2 A3 A4 A5 A6 A7 A8 A9 A10 인젝션 취약한 인증 민감한 데이터 노출 XML 외부 개체 (XXE) 취약한 접근 통제 잘못된 보안 구성 크로스 사이트 스크립팅(XSS) 안전하지 않은 역직렬화 알려진 취약점이 있는 구성요소 사용 불 충분한 로깅 및 모니터링