웹취약점점검 - 웹취약점 항목을 알아보자

안녕하세요. 오늘의 이것저것입니다.

날이 갈수록 해커들의 공격은 다양해지면서 더 치밀해지고 있습니다.

그렇기에 정보보안전문가의 인력이 시급한데

그래서 오늘은 정보보안분야 중 웹취약점점검에 대해서 알아보겠습니다.

 

 

 

해킹

해킹이란 다른 사람에 컴퓨터의 시스템에 침입을 하여 그 시스템이나 데이터에 손상을 입히거나 원래 동작을 못하게 만드는 것으로 무단으로 침입을 하여 정보재산에 대한 불법복제, 유포, 열람, 변경 등의 행위를 하는 것을 해킹이라고 합니다. 해킹은 크래킬과 다르게 컴퓨터 시스템이나 통신망에 정당한 접근 권한이 없이 접근하거나 허용된 접근 권한의 범위를 초과하여 침입을 하는 행위입니다.

 

해킹은 초기에 개인의 호기심이나 지적 욕구의 바탕 위에 컴퓨터와 컴퓨터 간의 네트워크를 탐험하는 행위를 말했습니다. 하지만 시대가 지날수록 악의적인 행위가 늘어나서 다른 컴퓨터 시스템을 침입하는 행위라고 정의가 되어버렸습니다.

 

웹 해킹

말 그대로 해킹의 종류 중 하나로 웹에 대한 취약점을 파악하여 그 경로를 통해 웹에 대해 해킹을 하는 데 웹서비스, 웹서버  설정 등에 대한 오류를 범하면서 정보에 대한 유출을 하는 행위입니다.

 

 

 

웹 취약점 점검

웹 취약점 점검이란 모의해킬 분야의 한 종류로 웹에 대한 해킹을 방지하기 위해 모의로 해킹 시도를 하여 해커들이 들어갈 만한 취약점을 찾아 사전에 그 취약점에 대해서 예방하고 미리 차단을 하는 것입니다.

 

웹 취약점 분석에 대한 항목

웹 취약점 분석 항목으로는 운영체제 운영체제 명령 실행, SQL 인젝션, XPath 인젝션, 디렌토리 인덱싱, 정보누출, 악성콘텐츠, 크로스사이트 스트립트(XSS), 약한 문자열 강도(브루트포스), 불충분한 인증 및 인가, 취약한 패스워드 복구, 불충분한 세션관리, 크로스사이트 리퀘스트 변조 (CSRF), 자동화공격, 파일업로드, 경로추적 및 파일 다운로드, 관리자 페이지 노출, 위치공개, 데이터 평문전송, 쿠키변조, 웹서비스 메소드 설정 공격, URL/ 피라미터 변조로 21개 항목이 있습니다.

 

운영체제 명령 실행 : 웹 서버에 존재하는 명령어 실행 가능 함수 인지를 조작하여 특정 명령어 실행이 가능한 취약점 (소스코드)

 

SQL 인젝션 : 입력 폼에 악의적인 취이문을 삽입하여 DB정보, 타 사용자 권한 획득이 가능한 취약점 (소스코드)

 

XPath : XPath 퀴리문 구조를 임의로 변경하여 DB 정보 열람, 타 사용자 원한 획득이 가능한 취약점 (소스코드)

 

디렉토리 인덱싱 : 본 페이지의 파일이 존재하지 않은 때 자동적으로 디렉토리 리스트를 출력하는 취약점 (서버)

 

정보누출 : 개발자의 부주의, 디폴트로 설정된 에러 페이지 등 웹 어플리케이션에서 민감한 정보가 노출되는 취약점 (소스코드)

 

악성콘텐츠 : 정상적인 컨텐츠 대신에 악성 컨텐츠를 주입하여 사용자에게 영향을 미치는 취약점 (소스코드)

 

크로스사이트 스크립 (XSS) : 웹사이트를 통해 다른 최종 사용자의 클라이언트에서 임의의 스크립트가 실행되는 취약점 (소스코드)

 

약한 문자열 강도 (브루트포스) : 비민번호 조합규칙 (영문, 숫자, 특수문자 등)이 충분하지 않아 추측 가능한 취약점 (소스코드)

 

불충분한 인증 및 인가 : 웹 애플리케이션에서 사용자 인증 및 접근제한 미흡으로 불법 접근 및 조작이 가능한 취약점 (소스코드)

 

취약점 패스워드 복구 : 취약한 패스워드 복구로직을 통해 다른 사용자의 패스워드를 획득, 변경 할 수 있는 취약점 (소스코드)

 

불충분한 세션 관리 : 단순 숫자 증가 방법 등의 취약한 특정 세션의 ID를 예측하여 세션을 가로채거나 중복 접속을 허용하는 경우 타 사용자의 세션을 획득하여 권한 획득 할 수 있는 취약점 (소스코드)

 

크로스사이트 리퀘스트 변조 (CSRF) : 로그인 한 사용자 브라우저로 하여금 사용자의 세션 쿠키와 기타 인증 정보를 포함하는 위조된 HTTP 요청을 취약한 웹 애플리케이션에 전송하는 취약점 (소스코드)

 

자동화공격 : 정해진 프로세스에 자동화된 공격을 수행함으로써 수많은 프로세스가 진행되는 취약점 (소스코드)

 

파일업로드 : 파일 업로드 기능을 이용하여 시스템 명령어를 실행할 수 있는 파일을 업로드 하는 취약점 (소스코드)

 

경로추적 및 파일 다운로드 : 다운로드 함수 인자를 조작하여 서버에 존재하는 파일 다운로드 가능한 취약점 (소스코드)

 

관리자페이지 노출 : 단순한 관리자 페이지 이름, 설정, 설계상 오류 등 관리자 메뉴에 직접 접근할 수 있는 취약점 (서버)

 

위치공개 : 임시파일, 백업파일 등에 접근이 가능하여 핵심정보가 노출될 수 있는 취약점 (서버)

 

데이터 평문전송 : 서버와 클라이언트 간 통신 시 암호화 하여 전송을 하지 않아 중요정보 등이 노출되는 취약점 (서버소스코드)

 

쿠키변조 : 보호되지 않는 쿠키를 사용하여 값 변조를 통한 사용자 위장 및 권한 상승 등이 가능한 취약점 (소스코드)

 

웹 서비스 메소드 설정 공격 : PUT, DELETE 등의 메소드를 악용하여 악성 파일 업로드가 가능한 취약점 (서버)

 

URL/파아미터 변조 : URL, 파라미터의 값을 검증하지 않아 특정 사용자의 권한 획득이 가능한 취약점 (소스코드)

 

준비

정보보안 뿐만 아니라 IT분야의 공부는 모두 독학이 가능합니다. 하지만 독학을 한다는 것을 이미 IT분야에 대한 지식이 있는 상태가 아니면 혼자하는 것을 매우 어렵고 무엇을 준비해야 하는지를 파악을 정확히 못할 것입니다. 그렇기에 독학을 하는 많은 사람들이 포기를 하는 경우가 수다합니다.

그중에서도 정보보안분야는 더 오랜시간이 걸리고 IT분야를 전반적으로 알고 있어야하는데 그 수준 또한 높은 수준을 가지고 있어야합니다. 그렇기에 정보보안 분야를 준비하는 것은 어려움이 있는 것입니다. 높은 수준의 실력이 있기 위해서는 전문적인 컨설팅과 이수 과목에 대한 이해와 연결이 필요합니다. 이러한 점을 잘 캐치한다면 정보보안에 대한 준비를 할 수 있습니다.

 

 

마무리 

IT분야에 대한 관심이 커지고 있는 가운데 정보보안을 희망하는 사람들 또한 늘고 있습니다. 하지만 정보보안 분야를 공부하다가도 어려운 점이 많아 포기를 하는데 이러한 점을 잡을 수 있는 곳이 KG아이티뱅크입니다.

KG아이티뱅크는 매순간 IT분야에 대한 고민을 하고 어떤 방식이 더 맞는 방식일까를 생각하고 고민합니다. 그렇기에 많은 사람들은 KG아아티뱅크에 대한 수강을 희망하고 있으며 KG아이티뱅크의 커리큘럼과 컨설팅에 만족을 하고 IT분야 인재가 되고 있습니다. 이러한 점에서 정보보안에 대한 확실한 길을 잡고 공부를 한다고하면 KG아이티뱅크만한 곳이 없기에 KG아이티뱅크를 추천합니다.

 

끝으로 KG아이티뱅크에 대한 수강에 대한 궁금한 점이나 정보보안에 대한 어려운 점, 고민 등이 있는 분들은

아래의 링크를 참고하고 링크를 통해 무료컨설팅이 진행되고 있으니 빠른 신청을 바랍니다.

 

KG아이티뱅크학원