정보보안 (12) 썸네일형 리스트형 SSRF(Server-Side Request Forgery) 오늘은 Server-Side Request Forgery에 대해서 알아보자.1. What is SSRF?SSRF(Server-Side Request Forgery) : 서버 측에서 위조된 HTTP 요청을 발생시켜 직접적인 접근이 제한된 서버 내부 자원에 접근하여 외부로 데이터 유출 및 오동작을 유발하는 공격이를 이해하기 위해서는 인터넷과 인트라넷의 차이를 알아야 한다.사진을 보면 클라이언트(Attacker), 웹 서버(xyz.com), 데이터베이스(10.0.0.1)가 있다.클라이언트(Attacker)와 웹 서버(xyz.com)는 인터넷을 통해 의사소통이 가능하지만 웹 서버(xyz.com)와 데이터베이스(10.0.0.1)는 인트라넷을 통해 소통하고 있어서 클라이언트(Attacker)가 직접적으로 내부 데이.. SQL Injection Injection은 OWASP에서도 지속적으로 거론되는 공격수법이다.OWASP (The Open Web Application Security Project) : 오픈소스 웹 어플리케이션 보안 프로젝트1. What is 'Injection' ?Injection : 명령 코드 삽입Injection은 (“inject" : "주사하다, 주입하다”) 그 어휘에서 알 수 있듯이 명령 코드 삽입 취약점을 의미한다. 명령 삽입 취약점, 즉 명령 삽입 공격은 서버가 클라이언트의 입력값을 잘 필터링하지 못할 때 발생한다.파라미터(parameter 매개변수, 인수) : 변수의 특별한 한 종류로서, 함수 등과 같은 서브루틴의 인풋으로 제공되는 여러 데이터 중 하나를 가리키기 위해 사용된다.클라이언트는 서버에 무언갈 요청할 때.. 패킷분석(Packet Analysis) 1. 패킷분석이 가지는 의미해킹 기법 중 '가로채기 공격'은 소극적인 공격 방법으로 비인가자가 네트워크 중간에서 다른 사람의 패킷정보를 도청하여 메시지나 시스템으로부터 정보를 얻거나 그 결과로 얻은 정보를 사용하려는 시도를 말한다.소극적인 공격 방법 : 시스템으로부터 정보를 획득하거나 사용하려는 시도로 시스템 자원에는 영향을 끼치지 않는 공격형태패킷 : 네트워크를 통해 전송하기 쉽도록 자른 데이터의 전송 단위통상 나는 Wireshark라는 툴을 이용하여 패킷을 분석한다. 물론 통신 패킷이 암호화 되어있는 경우 제대로 살펴보지 못할 수 있다. 따라서 암호화된 패킷을 복호화하는 것까지 구현할 수 있도록 부단하게 노력해야 한다. 보안을 책임지기 위해서는 해커의 시선에서 시스템을 바라볼 줄 알아야하고 그에 준하.. 코드보안의 이해 1. 코드보안프로그래머는 프로그래밍 언어를 사용하여 응용 프로그램이나 운영체제 등을 위한 소스코드(source code)를 작성한다.소스코드(source code) : 컴퓨터가 이해할 수 있게 프로그래머가 작성하는 명령의 집합.소스코드는 보안 취약점이 하드웨어나 어셈블리어에 비해 가장 쉽게 발생하기 때문에 해커들에 의해 종종 분석되고는 한다.어셈블리어(assembly language) : 기계어와 일대일 대응이 되는 컴퓨터 프로그래밍의 저급 언어.소스코드에서 문제가 발생하는 요인은 ‘데이터의 형태와 길이에 대한 불명확한 정의’ 로 요약할 수 있다. 따라서 보안 전문가라면 이와 관련하여 대책을 강구하고 코드에 대한 보안을 탐구해야 한다. 코드를 이용한 대표적인 공격은 버퍼 오버플로와 포맷 스트링이 있다. .. 이전 1 2 다음
