감자 생산 공장

정의 취약한 세션 관리나 인증 관리 허점을 이용하여 공격자가 일반 사용자 또는 관리자로 위장 가능한 웹 어플리케이션 취약점 공격 사례 - ‘여기어때’ 해킹 사건에 세션 하이재킹 기법 사용됨 관련기사 : https://www.sedaily.com/NewsVIew/1OH13UE53K - 취약한 인증은 거의 모든 공격에 전제되는 취약점인 듯! 취약한 상황** URL에 세션 정보가 노출되는 경우 è Session ID URL Rewriting Exploit - 공공 장소의 PC에서 사용되는 어플리케이션에서 세션이 유지되는 경우 - 세션 타임아웃이 없는 경우 - 로그아웃 없이 브라우저가 종료되는 경우 è Session Hijacking - 쿠키 관리 미흡 è 쿠키 변조 - ID와 패스워드 관리 미흡 è Vulne..

개념 신뢰할 수 없는 데이터를 명령어나 질의문의 일부분으로서 보내질 때 발생. 공격자의 데이터는 개발자가 의도하지 않은 명령을 실행하거나 적절한 권한 없이 데이터에 접근하도록 인터프리터를 속일 수 있음. Injection의 종류로는 SQL, OS, XXE, LDAP 등이 있음. 공격 사례 2017년 3월 "여기어때" 개인정보 유출 사건 '여기어때 마케팅센터 웹페이지'에 SQL인젝션 공격 DB에 저장된 관리자 세션값 탈취 외부에 노출된 '서비스 관리 웹페이지' 관리자 권한으로 우회 접속 예약정보, 제휴점 정보 및 회원정보 유출 ⇒ sql 인젝션 & 세션 변조 공격 조치) 취약점 점검 실시, '개인정보 유출 대응 매뉴얼'에 따라 대책 수립 2015년 9월 "뽐뿌 해..