I. 최근 웹 취약점 주요 공격 기법 웹취약점 분석 결과 SQL Injection 공격과 XSS 공격이 다수이므로 면밀한 취약점 분석이 필요 II. 웹 취약점 발견을 위한 정적/동적 분석 기술 가. 정적 분석 기술 구분 설명 개념 소프트웨어가 실행되지 않는 환경에서 소스코드 의미 분석 기반 취약점 탐지 기법 특징 – 소프트웨어 미실행 기반 분석 – 실행
I. XSS와 CSRF의 개념 XSS CSRF 웹사이트에 악의적 스크립트 삽입하여 쿠키 및 기타 개인정보를 특정 사이트로 유출하는 해킹 기법 로그인된 사용자가 자신의 의미와 무관하게 공격자가 의도한 행위(수정, 삭제 등)를 하게 하는 해킹 기법 II. XSS와 CSRF 구성도 및 세부 비교 가. XSS와 CSRF의 구성도 XSS CSRF 나. XSS와 CSRF 항목 별 비교 항목 XSS
I. 공격자 의도 행위 수행 기법, CSRF 가. CSRF(Cross Site Request Forgery)의 개념 로그인 된 사용자가 자신의 의지와 무관하게 공격자가 의도한 행위 수행 해킹 기법 나. CSRF의 특징 XSS와 함께 웹 환경에서 가장 효과적인 공격 방법 정상 사용자를 통해 이루어지므로 공격자의 IP 추적 불가능 세션 라이딩, 원클릭 공격, 크로스 사이트 참조와 동일 II. CSRF
I. 웹사이트 취약점을 이용한 해킹 공격, XSS 웹 페이지나 메일 등에 악성 Script를 삽입하여 Script를 실행하는 컴퓨터의 정보를 탈취하는 해킹 기법 II. XSS의 3가지 공격 유형 가. Stored XSS 공격 개념도 – 웹 서버에 악성 스크립트를 영구적으로 저장 – 사용자가 웹 페이지의 링크를 클릭하면 Script가 실행 공격 순서 ① 악성 스크립트 삽입 ② 웹사이트