Web 어플리케이션 공격기법

임의정리

1. Cross Site Scripting ( 크로스 사이트 스크립팅 )

게시판이나 웹메일 등에 악의적인 스크립트를 삽입하여 비정상적인 페이지가 보이게 하여 타 사용자의 사용을 방해하거나 쿠키및 기타 개인정보를 특정 사이트로 전송하는 등의 문제

2. SQL Injection ( SQL문 삽입 공격 )

웹 어플리케이션에 의도적으로 sql 문을 삽입하여 로그인 인증과정을 우회하거나 공격자의 악의적인 쿼리문을 DB에 보낼수 있는 문제

3. Parameter Manipulation ( 파라미터 변조 )

웹 어플리케이션이 사용자의 파라미터값을 검증하지 않을 경우 이를 악용하여 어플리케이션이 비정상적으로 동작하게끔 하는 문제

4. Brute Force Attacks ( 반복 [사전식] 공격 )

Get이나 Post 방식으로 인증하는 페이지에서 특정 ID에 대해 패스워드를 무한 입력하여 해당 ID의 패스워드를 획득할 수 있는 문제

5. Buffer Overflows ( 버퍼오버플로우 )

웹 서버에서 구동되는 실행파일에 비정상적인 버퍼 값을 입력시켜 시스템을 다운시키거나 관리자 권한을 획득하는 문제

6. Session Hijacking / Cookie Spoofing ( 세션 가로채기, 쿠키 변조 )

웹 어플리케이션과 클라이언트간 주고받는 정보를 임의적으로 변경하거나 쿠키정보를 변조하여 인증을 회피하거나 중요정보를 획득하는 문제

7. User Cgi Upload ( 사용자 cgi 업로드)

사용자가 악의적인 목적으로 웹 어플리케이션에서 수행가능한 cgi프로그램 ( asp, jsp, php, perl 등) 을 업로드하여 서버를 공격하는 문제

8. Remote Admiinistration Flaws ( 관리자 페이지 접속 공격 )

인터넷상에 공개된 관리자 페이지를 다양한 방법으로 공격하여 관리자권한 획득을 시도하는 문제

9. Directory/ Path Traversal ( 디렉토리/ 경로 탐색 )

웹 서버 설정상의 오류나 중요 파일의 위치 오류를 이용하여 디렉터리 리스팅을 통해 특정파일에 접근하거나 중요정보를 획득할 수 있는 문제