소개글

프로그램 보안

목차

1. Virus Scanner

2. 10대 가장 심각한 웹 어플리케이션
보안 취약점 및 대응방안
A1 - 크로스 사이트 스크립팅 (XSS)
A2 – 인젝션 취약점
A3 – 악성 파일 실행
A4 – 불안전한 직접 객체 참조
A5 – 크로스 사이트 요청 변조 (CSRF)
A6 – 정보 유출과 부적절한 에러 처리
A7 – 취약한 인증 및 세션 관리
A8 – 불안정한 암호화 저장
A9 – 불안전한 통신
A10 – URL 접근통제 실패

본문내용

A1 - 크로스 사이트 스크립팅 (XSS)
XSS란?
공격자가 희생자의 브라우저에 스크립트를 실행할 수 있게 허용함으로써 사용자의 세션을 가로채거나, 웹 사이트 변조, 악의적 컨텐츠 삽입, 피싱 공격 등을 할 수 있고, 악의적인 스크립팅을 이용해 사용자의 브라우저를 가로채 악용하는 공격.
공격대상
공격방법
- 페이지의 모양 바꾸기 - SSL 암호화 커넥션 노출
- 쿠키 변형시키기 - 제한된 웹사이트 접근
- DOM 기반 보안 정책 위반 가능 - 잘 사용하지 않는 문자셋 사용
- 폼의 행동 방식 변형
대응방법
입력값 검증 : 데이터가 보여지거나 저장되기 전에 길이, 형태, 문법과 비즈니스 규칙에 대한 모든 입력 데이터를 검증하기 위해 표준 입력값 검증 방식을 사용해라. “알고 있는 올바름을 수락”하는 검증 전략을 사용해라. 잠재적으로 악의적인 데이터를 삭제하려고 시도하는 것 보다는 검증되지 않은 입력을 거부해라. 에러 메시지에 검증되지 않은 데이터를 포함해야 한다는 것을 잊지 말아라.
강력한 출력값 암호화 : 매우 제한적인 부분이 아니라 모든 문자들이 암호화 되도록 하는 것이 해결 방법이며 모든 사용자에게 제공되는 데이터가 전달되기 전에 적절하게 암호화 되어 있는지 확인하라(출력 방식에 따른 HTML 또는 XML 모두). 이것은 Microsoft Anti-XSS 라이브러리와 이번 OWASP PHP Anti-XSS 라이브러리의 접근 방식이다. 또한 출력하는 각 페이지에 문자 암호화를 한다면 다른 변형 공격에 대한 노출을 감소시킬 것이다.
출력값 암호화(ISO 8859-1 또는 UTF 8같은) 명시 : 공격자가 여러분의 사용자를 위해 출력값 암호화를 선택하도록 허용하지 마라.

참고 자료

참고잘요벗음