웹 보안 공격 - Command lnjection , File Upload Attack , JavaScript lnjection

Command lnjection

애플리케이션에서 사용되는 시스템 명령에 악의적인 명령어를 삽입하는 공격 (WebShell Attack)

서버 root 권한을 취득할 수 있다.

 

Command lnjection - 사례

Command lnjection - 방어

가급적 시스템 함수는 사용 X

민감한 문자를 필터링 - ex) |, & , ; , >, <

 

 

File Upload Attack

악성 스크립트 파일을 업로드하는 공격

업로드후 파일 위치를 찾아 실행시키면 공격 성공

 

File Upload Attack - 사례

File Upload Attack - 방어

확장자 / 파일 타입 검사

업로드 파일을 난수화하여 저장

특수 문자가 포함된 경우 업로드 금지

 

 

JavaScript lnjection

Client - side 에서 JavaScript를 삽입시키는 공격

크롬 console 등을 통해 조작 가능하다.

Client - side에 민감한 데이터를 넣을 경우 탈취 가능

 

JavaScript lnjection - 방어

Client - side엔 민감한 정보를 절대 넣지 않는다.

데이터 유효성 검사가 필요한 경우 서버와 통신한다. (중요한 데이터는 Client에서만 검사하면 안된다)