정보보안 Study

■ 개요 - XML(eXtensible Markup Language)은 W3C에서 개발된, 다른 특수한 목적을 갖는 마크업 언어를 만드는데 사용하도록 권장하는 다목적 마크업 언어로, 텍스트 기반이며 간결한 데이터형이다. - XML은 데이터를 트리 구조의 노드로 표현을 하며, 사용자 정의로 데이터를 분류를 진행한다. - 사용자의 입력한 값을 서버에서 검증하지 않을 경우, 공격자는 이를 이용하여 쿼리문의 의미를 왜곡시키거나 그 구조를 변경하고 임의의 쿼리를 실행하여 인가되지 않은 데이터를 열람할 수 있는 공격 - 주요정보통신기반시설 웹 취약점 진단 기준으로 07. XPath 인젝션에 해당 ■ 사전 지식 □ Xpath란? - Xpath는 XML문장 속의 요소, 속성 등을 지정하기 위한 언어로서, Xpath에는..

■ 개요 - SSI(Server Side Includes)는 HTML 페이지에 사용하는 지시어로, SSI를 사용하면 CGI 프로그램이나 다른 동적인 기술로 페이지 전체를 만들어서 서비스하지 않고도 HTML 페이지에 동적으로 생성한 내용을 추가할 수 있다. - 보통 방문자 수, 조회 수 등의 동적인 내용을 추가할 때 사용 - SSI를 사용하는 웹 사이트는 .shtml, .stm, shtm 파일을 사용하는데, 공격자는 악의적인 목적으로 SSI 지시어를 인젝션하여 중요 파일 탈취, 악성파일 삽입 등이 가능한 공격 - 주요정보통신기반시설 웹 취약점 진단 기준으로 06. SSI 인젝션에 해당 ■ SSI(Server Side Includes)란? - SSI는 간단한 서버 사이드 스크립트 언어로, #include 지..

■ 개요 - 시스템 명령어를 쿼리문에 주입하여 취약한 변수를 통해 서버 운영체제에 접근하는 공격 - 웹 페이지에서 시스템 명령어가 실행 시 부적절하게 권한이 변경되거나 시스템 동작 및 운영에 악영향을 미칠 수 있음 - 주요정보통신기반시설 취약점 진단 기준으로 4. 운영체제 명령 실행에 해당 - OWASP TOP 10 2021 A03. Injection에 해당 ■ 사전 지식 □ 운영체제별 다중 명령어 명령어 운영체제 예시 설명 ; 리눅스 prog1; prog2 - prog1이 실패해도 prog2가 실행 & 윈도우 prog1 & prog2 - prog1이 실패해도 prog2가 실행 & 리눅스 prog1 & prog2 - prog1을백그라운드에서 수행하고 prog2를 수행 && 리눅스, 윈도우 prog1 &&..

HTML 인젝션  개요 - 취약한 매개변수에 악의적인 HTML 코드를 삽입하는 공격 - HTML 태그로 악의적인 사이트에 연결하거나 악성 파일을 다운로드 하도록 유도 - XSS(Cross Site Script) 취약점 일부에 포함되는 취약점  사전 지식 - HTML은 하이퍼텍스트를 활용한 마크업 언어로 WWW(World Wide Web) 페이지를 구성하기 위한 하이퍼링크의 표현하는 규약 - 클라이언트 사이드 스크립트(Client Side Script) : 클라이언트(사용자) 측에서 처리하는 것으로, 클라이언트가 입력한 것을 수신하여 HTML로 만들어서 크롬과 같은 어플리케이션에 해석해서 표시. 대표적으로 자바스크립트가 있다. - 서버 사이드 스크립트(Server-Side Script) : 서버 측에서..