소개글

웹 개발시 중요한 웹 취약점에 대해 정리했습니다. SQL 인젝션, XSS 등 입니다.

목차

1. 에러 메시지로의 정보 유출
2. 크로스 사이트 스크립팅 (XSS)
3. SQL 인젝션 (SQL Injection)
4. CSRF (Cross-Site Request Forgeries)

본문내용

1. 에러 메시지로의 정보 유출
웹 사이트에서 빈곤하게 발생하는 시스템 에러를 그대로 노출 시킴으로써 서버의 정보를 유출되는 경우가 있습니다.
이 오류페이지에는 디렉토리정보, 오류메시지, 데이터베이스정보, 서버 운영환경 정보를 노출 시킬 수 있으므로 위험을 초래하게 됩니다.
*모 사이트의 에러메시지
파라미터 조작으로 사이트의 에러를 발생하게 합니다. 파라미터 조작으로 에러메시지를 확인할 수 있는 사이트가 쉽게 찾아 볼 수 있습니다.

<중 략>

위 에러메시지로 확인할 수 있는 정보는 다음과 같습니다.
1. 간단하게 Java/JSP로 운영되고 있는 사이트
2. 데이터베이스는 MySQL을 사용
3. 개발자라면 추측할 수 있는 아이바티스(iBatis), 스프링프레임워크 의 사용
4. 파라미터의 값이 쿼리에 직접적으로 미치는 현상
5. 소스파일의 디렉토리(패키지) 경로
단순히 URL의 파라미터 조작만으로 서버의 데이터베이스 오류를 발생시키고 있습니다.
대처방법
1. 서버의 설정으로 에러페이지 구성
(웹서버 및 웹컨테이너의 설정, web.xml 내에서의 오류페이지 설정)
2. 개발시 에러페이지 구성 (오류가 발생한다면 에러페이지로 이동)
3. 사용자가 요청하는 파라미터에 대한 검증

2. 크로스 사이트 스크립팅 (XSS)
이 크로스 사이트 스크립팅은 Cross-Site Scripting 의 약어 입니다. 약어라면 CSS가 될 수 있지만 이 약어는 Cascading Style Sheets로 정의되어 있으므로 혼동을 피하기위해 XSS라 불립니다.
이 XSS는 표시처리에 관한 취약성 문제로서, 외부 입력에 의해 표시가 동적으로 변하는 부분 입니다. 태그 및 스크립트에 대해 기초지식이 있다면 충분히 응용할 수 있는 것 입니다.

참고 자료

없음