0. OWASP(Open Web Application Security Project)
웹 취약점 탑 10 List 배포(대략 3~4년 주기)해주는 비영리단체 - 번역판도 있으니 반드시 인쇄하여 공부할 것
https://owasp.org/www-project-top-ten/
OWASP Top Ten Web Application Security Risks | OWASP
The OWASP Top 10 is the reference standard for the most critical web application security risks. Adopting the OWASP Top 10 is perhaps the most effective first step towards changing your software development culture focused on producing secure code.
owasp.org
여러 곳을 찾아봤는데
넷마블 보안 담당자(넷마블 보안실 게임보안팀 전희창)분이 정리해서 올린 글이
가장 깔끔하고 자세한 공격예시며 예방 방법까지 나와있어서 참고로 가져왔다.
알아 들을 수 없는 단어가 너무 많아서 우선 스크랩만 해두자.
들어간김에 넷마블 기술 블로그를 이곳저곳 구경했는데 꽤나 흥미로웠다.
신입 백엔드엔지니어의 첫 적응기라던가, 시니어 엔지니어들의 꿀팁 전수 같은 그런 글도 있고
뭔가 분위기가 전달된달까 우선은 보고 있지만 볼 수 없는 문맹 상태를 어서 벗어나보자
https://netmarble.engineering/owasp-top-10-2021-1/
https://netmarble.engineering/owasp-top-10-2021-2/
A01: Broken Access Control(취약한 접근 제어: 권한/인가)
A02: Cryptographic Failures(암호화 실패)
A03: Injection(인젝션)
A04: Insecure Design(안전하지 않은 설계)
A05: Security Misconfiguration (보안 설정 오류)
A06: Vulnerable and Outdated Components(취약하고 지원이 종료된 구성 요소)
A07: Identification and Authentication Failures(식별 및 인증 실패)
A08: Software and Data Integrity Failures(소프트웨어 및 데이터 무결성 오류)
A09: Security Logging and Monitoring Failures(보안 로깅 및 모니터링 오류)
A10: Server-Side Request Forgery(SSRF, 서버 측 요청 변조)
해킹 공격의 절차 중에 정보 수집이 가장 핵심적인 단계라고 할 수 있다.
정보 수집을 위한 다양한 툴이 사용된다. (근데 툴 소개를 안해줌 ㄷㄷ)
1. 해킹 공격의 절차
1) 대상 선정
2) 정보 수집 (양, 질의 따라 공격의 퀄리티가 결정됨)
3) 취약점 발견
4) 공격
5) 보고서 작성, 흔적 제거
2. 웹 취약점 점검리스트
Information Gathering
Business Logic Testing
Authentication Testing
Session Management Testing
Data Validation Testing
Denial of Service Testing
Web Service Testing
AJAX Testing
* WASC ( Web Application Security Consortium)
웹보안의 표준을 위해 구성된 국제단체
'Web Hacking' 카테고리의 다른 글
| 9. XSS (Cross Site Scripting) (1) | 2022.06.27 |
|---|---|
| 8. bruteforce attack / password cracking (0) | 2022.06.24 |
| 6. Session Hijacking(세션 관리 및 탈취) (0) | 2022.06.20 |
| 5. Web Authentication(웹 인증) (1) | 2022.06.15 |
| 4. Encoding Schema (1) | 2022.06.15 |
댓글