웹 보안 공격 - Command lnjection , File Upload Attack , JavaScript lnjection
2023. 9. 22. 12:56ㆍ웹 보안 공격
728x90
Command lnjection
애플리케이션에서 사용되는 시스템 명령에 악의적인 명령어를 삽입하는 공격 (WebShell Attack)
서버 root 권한을 취득할 수 있다.
Command lnjection - 사례
Command lnjection - 방어
가급적 시스템 함수는 사용 X
민감한 문자를 필터링 - ex) |, & , ; , >, <
File Upload Attack
악성 스크립트 파일을 업로드하는 공격
업로드후 파일 위치를 찾아 실행시키면 공격 성공
File Upload Attack - 사례
File Upload Attack - 방어
확장자 / 파일 타입 검사
업로드 파일을 난수화하여 저장
특수 문자가 포함된 경우 업로드 금지
JavaScript lnjection
Client - side 에서 JavaScript를 삽입시키는 공격
크롬 console 등을 통해 조작 가능하다.
Client - side에 민감한 데이터를 넣을 경우 탈취 가능
JavaScript lnjection - 방어
Client - side엔 민감한 정보를 절대 넣지 않는다.
데이터 유효성 검사가 필요한 경우 서버와 통신한다. (중요한 데이터는 Client에서만 검사하면 안된다)
'웹 보안 공격' 카테고리의 다른 글
| 웹 보안 공격 - 알아야 하는 보안 정책들 (0) | 2023.09.24 |
|---|---|
| 웹 보안 공격 - DDOS , Dictionary Attack , Rainbow Table (0) | 2023.09.23 |
| 웹 보안 공격 - CSRF Attack (0) | 2023.09.21 |
| 웹 보안 공격 - XSS (0) | 2023.09.20 |
| 웹 보안 공격- SQL lnjection (0) | 2023.09.19 |