JeongBear WriteUp JeongBear WriteUp

OWASP(Open Web Application Security Project)는 웹 애플리케이션 보안을 강화하기 위해 설립된 글로벌 비영리 단체입니다. 이 단체는 웹 애플리케이션 개발자와 보안 전문가들이 가장 흔히 접하는 보안 취약점을 이해하고 해결할 수 있도록 돕기 위해 'OWASP Top 10'이라는 가이드를 제공합니다. 현재는 2021버전이 최신으로 내년인 2025년에 새롭게 선정될 것으로 예상됩니다. 2021년 기준 top10에 선정된 취약점은 다음과 같습니다.1. Broken Access Control (취약한 접근 제어)사용자가 허가되지 않은 리소스나 기능에 접근할 수 있는 경우를 말합니다. 예를 들어, URL 조작이나 권한 없는 데이터 접근이 이에 해당합니다.방지 방법: 역할 기반 접근 제..

파일 업로드 취약점은 파일 업로드 기능이 제대로 검증되지 않을 때 발생하는 보안 문제입니다. 이를 통해 공격자가 악성 파일을 서버에 업로드하고 실행할 수 있어 시스템 권한 획득, 웹쉘 실행 등 심각한 보안 위협을 초래할 수 있습니다. 종류를 살펴보면 다음과 같습니다 잘못된 파일 검증파일 확장자, MIME 타입, 내용 검증이 미흡하거나 우회 가능한 경우 공격자가 악성 파일을 업로드할 수 있습니다.경로 우회 (Path Traversal)업로드된 파일이 의도한 경로가 아닌 다른 시스템 경로에 저장되게 하는 공격입니다.권한 문제서버가 업로드된 파일에 대한 실행 권한을 부여하면 공격자가 업로드한 파일을 통해 원격 코드 실행이 가능합니다.파일 이름 충돌공격자가 동일한 파일 이름을 업로드하여 기존 파일을 덮어쓰는 상..

SQL 인젝션(SQL Injection)은 공격자가 웹 애플리케이션의 입력 필드를 악용하여 SQL 쿼리를 조작함으로써 데이터베이스에 비정상적인 접근을 시도하는 공격 기법입니다. 이 공격은 데이터 유출, 삭제, 수정, 또는 관리자 권한 탈취 등의 심각한 결과를 초래할 수 있습니다. 취약점: 애플리케이션에서 사용자 입력을 적절히 검증하거나, 쿼리에 직접 삽입할 때 이를 처리하지 않을 경우 발생합니다. 취약한 쿼리:SELECT * FROM users WHERE username = '$username' AND password = '$password'; username에 ' OR '1'='1을 입력하면 쿼리가 다음과 같이 변조:SELECT * FROM users WHERE username = '' OR '1'='..

OSI 7계층(Open Systems Interconnection Model)은 네트워크 통신을 이해하고 설계하기 위해 국제표준화기구(ISO)에서 정의한 모델입니다. 이 모델은 통신 시스템을 계층별로 나누어 각각의 계층이 수행해야 할 역할과 기능을 정의합니다.1. 물리 계층 (Physical Layer)역할: 물리적 연결을 통해 데이터를 전송하는 계층입니다.기능:전기적, 기계적, 기능적 인터페이스를 정의데이터 전송을 위해 케이블, 스위치, 허브 등의 물리적 장치 사용비트(bit) 단위 데이터 전송2. 데이터 링크 계층 (Data Link Layer)역할: 물리 계층에서 받은 데이터를 신뢰성 있게 전달하도록 보장하는 계층입니다.기능:오류 검출 및 수정데이터 프레임 생성 및 흐름 제어MAC 주소를 기반으로 ..

정보보안은 정보와 정보 시스템을 보호하여, 정보의 주요 속성인 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 유지하고 보장하는 활동과 기술, 절차, 정책을 총칭합니다. 1. 기밀성 (Confidentiality)정의: 허가된(인가된) 사용자나 시스템만이 정보에 접근할 수 있도록 보장하는 것을 말합니다.중요성: 민감한 정보가 비인가된 사용자에게 노출되면 데이터 유출 사고가 발생할 수 있습니다.방법: 데이터 암호화, 접근 제어, 사용자 인증 시스템2. 무결성 (Integrity)정의: 정보가 인가되지 않은 방식으로 수정, 삭제, 변조되지 않고 정확하고 일관된 상태를 유지하는 것을 말합니다.중요성: 데이터의 변조나 오류는 의사결정 과정에 심각한 영향을 미..