웹보안 (2) 썸네일형 리스트형 웹 취약점 XXE 공격 개요 (XML 외부 엔티티) 웹 취약점 중 XXE 공격에 대해 알아본다 XXE 란 XML 외부 엔티티를 이용한 공격이다 XXE 는 XML External Entity 의 약자이다 웹 취약점 중 하나인 XXE 공격에 대한 개요는 아래와 같다 해커가 웹서버로 XML 형식의 데이터를 전송하고 서버는 수신받은 XML 형식의 데이터 중 시스템 명령어를 수행해서 결과를 응답한다 이때 대표적으로 서버의 비밀번호를 요청하는 시스템 명령어를 수신받아 해킹할 수 있다 실제 XXE 공격시 전송하는 데이터의 형식 예제이다 이런식으로 서버로 데이터를 전송하면 서버에선 해당 XML 형식의 문구를 해석 후 /etc/passwd 를 수행하여 결과를 응답하게 된다 참고로 /etc/passwd 는 유닉스 계열 시스템의 비밀번호를 확인하는 명령어이다 그렇다면 XXE.. OWASP (Open Web Application Security Project) 오늘은 OWASP 에 대해서 정리해보자 OWASP 란 Open Web Application Security Project 의 약자이다 소프트웨어의 보안을 위한 단체이고 이름에 Security 가 들어간것처럼 웹과 어플리케이션의 보안과 관련한 일을 수행한다 OWASP 에서는 여러 프로젝트를 진행하는데 그 중에서 웹의 가장 심각한 보안 관련 이슈를 공유하는 프로젝트를 OWASP Top 10 프로젝트라고 부른다 Top 10 은 확산도, 공격 가능도, 탐지가능도, 영향력을 기준으로 평가하여 선정된다 보안 관련 컨설팅 업체는 모의해킹, 보안 컨설팅 등을 수행할 때 OWASP TOP 10에 선정된 항목을 중요하게 점검하게되고, 가능하면 개발회사도 해당 내용들에 대해서 주의깊게 개발해야 한다. 아래는 2013년과 2.. 이전 1 다음
