웹/웹 보안

웹 취약점 진단 항목(22개)

비니화이팅 2018. 6. 4. 01:26

앞으로 "누구나 쉽게 따라하는 웹 취약점 진단 기술" 서적을 공부하며 취약점 하나하나에 대한 포스팅을 간단히 하여 같이 올려놓겠습니다.


아래의 웹 취약점 진단 항목(22개)는 "KISA의 취약점 진단 제거 가이드(2013.12)"의 내용을 참고 하여 작성되었다고 합니다.

(참고로 KISA의 취약점 진단 제거 가이드(2013.12)는 http://itlearner.tistory.com/315?category=788684<-에 올려 두었습니다.)

연번

코드

점검 항목

공격 피해

대응법

블로그 포스트 주소

1

OC

운영체제 명령 실행

시스템 장악

소스코드 시큐어 코딩

 http://itlearner.tistory.com/317

2

SI

SQL 인젝션

DB 정보 유출

소스코드 시큐어 코딩

 http://itlearner.tistory.com/318

3

XI

XPath 인젝션

사용자 인증 우회

소스코드 시큐어 코딩

 

4

DI

디렉토리 인덱싱

시스템 파일 노출

서버 보안 설정 변경

 

5

IL

정보 노출

서버 정보 노출

서버 보안설정 변경 

및 시큐어 코딩

 

6

CS

악성 콘텐츠

악성 코드 감염

소스코드 시큐어 코딩

 

7

XS

XSS

세션 하이재킹 및 

악성코드 전파

소스코드 시큐어 코딩

 

8

BF

약한 문자열 강도

(Brute Force)

사용자 계정 탈취

소스코드 시큐어 코딩

 

9

IN

불충분한 인증 및 인가

관리자 권한 탈취

소스코드 시큐어 코딩

 

10

PR

취약한 패스워드 복구

사용자 계정 탈취

소스코드 시큐어 코딩

 

11

SM

불충분한 세션 관리

사용자 권한 탈취

소스코드 시큐어 코딩

 

12

CF

CSRF

사용자 권한 탈취

소스코드 시큐어 코딩

 

13

AU

자동화 공격

시스템 과부하

소스코드 시큐어 코딩

 

14

FU

파일 업로드

시스템 장악

소스코드 시큐어 코딩

 

15

FD

경로 추적 및 

파일 다운로드

웹 서버 정보 노출

소스코드 시큐어 코딩

 

16

AE

관리자 페이지 노출

웹 사이트 정보 노출

서버 보안 설정 변경

 

17

PL

위치 공개

웹 사이트 정보 노출

서버 보안 설정 변경

 

18

SN

대이터 평문 전송

중요 정보 노출

소스코드 시큐어 코딩

 

19

CC

쿠키 변조

사용자 권한 탈취

소스코드 시큐어 코딩

 

20

MS

웹 서비스 메소드 설정 공격

시스템 장악

서버 보안 설정 변경

 

21

UP

URL/파라미터 변조

사용자 권한 탈취

소스코드 시큐어 코딩

 

22

ETC

기타

(웹 어플리케이션 취약점

및 오픈 포트 등)

-

-

 

 - 웹 취약점 진단 항목(22개) -





본 글은 "누구나 쉽게 따라하는 웹 취약점 진단 기술" 서적과 "KISA의 취약점 진단 제거 가이드(2013.12)"를 참고하여 작성하였습니다.