웹 공격(OWASP, XSS 등)

OWSP:The Open Web Application Security Project

전 세계 보안 전문가들이 웹의 보안에 대한 표준을 정의하고 기업과 개발자들에게 효율적인 정보를 제공하는 오픈소스 커뮤니티 

 

---

 

SQL 공격 시나리오

1. 사용자자가 input form에 무엇인가를 작성, 공격자는 데이터 베이스에 접근 

2. 공격자는 input form에 일반 텍스트가 아닌 SQL문 작성 (예: 'OR '1' = '1')

3. where절에서 결굴 SQL문이 실행되어 로그인에 성공 

 

방지 정책 

1. 입력 값 검증

2. Prepared statement구문 사용

3. error message 노출 금지 

 

---

 

Stored XSS: 스크립트가 서버에 저장, 지속적 기법이라고도 함 

 

Stored XSS 시나리오

1. 공격자가 게시판에 텍스트가 아닌 스크립트가 담긴 글을 작성 

2. 사용자가 글 조회사 html로 글의 내용이 보여짐 

3. 악성스크립트가 작성된 글은 서버에 저장, 불특정 다수를 대상으로 공격 

 

Reflected XSS: 비지속적 기법, url파라미터를 사용해 스크립트를 만드는 유형 

Reflected XSS 시나리오 

1. 공격자는 url 파라미터에 스크립트가 작성된 링크로 사용자의 클릭을 유도 

2. 피해자가 url 클릭-> 열리길 예상하는 웹사이트가 아닌 다른 웹사이트로 연결

3. 해당 웹 서버는 url에 담긴 스크립트를 반사(reflected)하여 클라이언트 응답 전송

4. 브라우저가 공격자가 심은 악성 스크립트를 그대로 실행 

 

XSS 방지 정책

1. 스크립트 태그의 입력을 막기 

2. 쿠키 설정 확인하기(httpOnly)

3. 쿠키에 민감한 정보 담지 않기(개인정보를 유추할 수 있는 내용은 쿠키에 담지 않고 모두 서버에서 관리)

 

---

 

CSRF: Cross-Site Request Forgery

---

 

Clickjacking: 사용자가 의도한 클릭 대상이 아닌 다른 대상을 클릭하도록 속이는 공격 기법 

 

Clickjacking 공격 시나리오 

1. 이메일, 광고 등 클릭을 유도하여 본래 웹 페이지와 동일한 피싱 사이트로 접근 유도 

2. iframe 태그를 이용해 보이지 않는 버튼을 배치, 사용자가 인지하는 버튼과는 다른 버튼을 누룸

3. 해당 클릭으로 공격자는 사용자의 개인정보 탈취, 사용자 컴퓨터 제어권 획득 

 

Clickjacking 대응 방안 

1. x-frame option

2. 콘텐츠 보안 정책