공부/KISA84 크로스사이트 요청 위조 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 입력 데이터 검증 및 표현 - 크로스사이트 요청 위조 가. 개요 특정 웹사이트에 대해서 사용자가 인지하지 못한 상황에서 사용자의 의도와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 요청하게 하는 공격을 말한다. 웹 응용프로그램이 사용자로부터 받은 요청에 대해서 사용자가 의도한 대로 작성되고 전송된 것인.. 2020. 7. 20. LDAP 삽입 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 입력 데이터 검증 및 표현 - LDAP 삽입 가. 개요 공격자가 외부 입력을 통해서 의도하지 않은 LDAP(Lightweight Directory Access Protocol) 명령어를 수행할 수 있다. 즉, 웹 응용프로그램이 사용자가 제공한 입력을 올바르게 처리하지 못하면, 공격자가 LDAP 명령문의 구성을 바꿀 .. 2020. 7. 20. XPath 삽입 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 입력 데이터 검증 및 표현 - XPath 삽입 가. 개요 외부 입력값을 적절한 검사과정 없이 XPath 쿼리문 생성을 위한 문자열로 사용하면, 공격자는 프로 그래머가 의도하지 않았던 문자열을 전달하여 쿼리 문의 의미를 왜곡시키거나 그 구조를 변경하고 임의의 쿼리를 실행하여 인가되지 않은 데이터를 열람할 수 있다. 나.. 2020. 7. 20. XQuery 삽입 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 입력 데이터 검증 및 표현 - XQuery 삽입 가. 개요 XQuery를 사용하여 XML 데이터에 대한 동적 쿼리를 생성 시 사용되는 외부 입력값에 대해 적절한 검증절차가 존재하지 않으면 공격자가 쿼리 문의 구조를 임의로 변경할 수 있게 된다. 이로 인해 허가되지 않은 데이터를 조회하거나 인증절차를 우회할 수 있다... 2020. 7. 20. 신뢰되지 않는 URL 주소로 자동접속 연결 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 입력 데이터 검증 및 표현 - 신뢰되지 않는 URL 주소로 자동접속 연결 가. 개요 사용자로부터 입력되는 값을 외부 사이트의 주소로 사용하여 자동으로 연결하는 서버 프로그램은 피싱(Phishing) 공격에 노출되는 취약점을 가질 수 있다. 일반적으로 클라이언트에서 전송된 URL 주소로 연결하기 때문에 안전하다고 생각.. 2020. 7. 20. 위험한 형식 파일 업로드 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - 입력 데이터 검증 및 표현 - 위험한 형식 파일 업로드 가. 개요 서버 측에서 실행될 수 있는 스크립트 파일(asp, jsp, php 파일 등)이 업로드 가능하고, 이 파일을 공격자가 웹을 통해 직접 실행시킬 수 있는 경우, 시스템 내부 명령어를 실행하거나 외부와 연결하여 시스템을 제어할 수 있는 보안약점이다. 나... 2020. 7. 19. 이전 1 ··· 7 8 9 10 11 12 13 14 다음
