SYSTEM/TIP

OWASP Top10 2021

[출처 http://blog.plura.io/?p=16579] 비영리재단인 OWASP(The Open Web Application Security Project)는 2021년 새로운 애플리케이션 보안 위협 10가지를 발표했다. 3개의 항목이 새롭게 추가 되었고, 4개의 항목에서 범위 및 새로운 이름으로 변경된 것들이 존재한다. 2017 2021 A1. Injection A1. Broken Access Control A2. Broken Authentication A2. Cryptographic Failures A3. Sensitive Data Exposure A3. Injection A4. XML External Entities (XXE) A4. Insecure Design A5. Broken Access..

2022. 2. 4. 11:13

SECURITY/모의해킹 취약점분석

[모의해킹/취약점분석] SQL 인젝션 Injection

SQL injection 취약점 국내 모 사이트 실제 해킹 과정 본 포스팅 내용은 악의적인 목적으로 시행된것이 아님을 밝힙니다. 모의 해킹 결과는 해당 사이트 담당 관리자에게 통보하여 취약 부분에 대하여 개선.권고 조치 하였음. 1. WEB 서버 정보 알아보기 윈도우 기반의 IIS 웹서버 / apache tomcat 등을 사용중인것으로 확인 2. burpsuit or OWASP ZAP 등 프로그램을 이용한 사이트 분석 (취약점 분석) 2. Burpsuite or ZAP 프로그램 사용 취약점 분석 윈도우 기반의 IIS 웹서버 / apache tomcat 등을 사용중인것으로 확인 asp 로 개발된 사이트이며, mssql 을 사용하고 있습니다. - 개인정보 관련 페이지(ID/Password) 취약점을 이용한 ..

2017. 10. 17. 17:55

SECURITY/보안기술(SECOPS)

OWASP 10대 보안 취약점 (2017년)

OWASP(Open Web Application Security Project)는 오픈소스 웹 애플리케이션 보안 프로젝트 Point 무엇보다 보안은 개발조직 전반에 걸쳐 필수적인 요소라고 인식하는 문화를 만드는 것이 중요하다고 OWASP는 강조 가장 최선의 보안은 개발 단계 (코딩 단계)에서 부터의 보안 생각 실무 경험상 침해사고의 대부분은 Application 취약점 이나 개발 로직상의 보안 취약성으로 뚫리는 경우가 대부분임 이외, PC 관리, 서버 OS 레벨의 보안적인 측면의 관리 부재도 한몫 하지만... 개발 단계에서 아래 사항들에 대해 고민하고 보안 이슈에 대해 조금이라도 고려하여 개발한다면 100%는 아니지만 잘 알려진 해킹 공격들에 대해서 조금이나마 보안은 가능할것으로 생각됨........ 그..

2017. 8. 21. 12:54