IT@Security 보안컨설팅 #3 그누보드 취약점 분석

728x90

WISET IT@Security 취업 탐색 멘토링의 소그룹 보안컨설팅 팀에 참여하여, 멘토님께서 신경을 많이 써주셨다.

여러 지도 사항들 중에서 중요한 과제를 내주셨는데,

일명 주통기(주요정보통신기반시설_기술적_취약점_분석_평가_방법_상세가이드.pdf)의 8. Web 웹에 있는 총 28개 항목 모두를 실습하고 블로그에 정리하여 포스팅 하는 것이다.

pdf 파일은 아래 링크를 통해 다운로드 받을 수 있다.

https://www.kisa.or.kr/2060204/form?postSeq=12&lang_type=KO&page=1

KISA 한국인터넷진흥원

www.kisa.or.kr

8. Web 웹에 있는 총 28개의 항목은 아래와 같다.

pdf 파일 643p에 있는 항목을 캡쳐한 것이다.

캡쳐한 이미지라서 잘 안 보일 것 같아서 아래에 다시 한 번 정리해 보았다.

1. 버퍼 오버플로우

2. 포맷스트링

3. LDAP 인젝션

4. 운영체제 명령 실행

5. SQL 인젝션

6. SSI 인젝션

7. XPath 인젝션

8. 디렉터리 인덱싱

9. 정보 누출

10. 악성 콘텐츠

11. 크로스사이트 스크립팅

12. 약한 문자열 강도

13. 불충분한 인증

14. 취약한 패스워드 복구

15. 크로스사이트 리퀘스트 변조(CSRF)

16. 세션 예측

17. 불충분한 인가

18. 불충분한 세션 만료

19. 세션 고정

20. 자동화 공격

21. 프로세스 검증 누락

22. 파일 업로드

23. 파일 다운로드

24. 관리자 페이지 노출

25. 경로 추적

26. 위치 공개

27. 데이터 평문 전송

28. 쿠키 변조

한 개씩, 시간 날때마다 도장 깨기 한다는 마음 가짐으로 정복해 보아야겠다.

이 28개 항목 모두를 정복하기 위해서는

가장 먼저 해야할 것이 실습 환경을 구축하는 것이다.

항상 실습 환경을 구축하는 것이 첫번째 관문이었는데,

학교 전공 수업때도 교수님들께서 알아서 설치해오라고 하면 엄청나게 험난한 과정을 겪어야 했다.

이번에도 실습 환경을 구축하기 위해 그누보드를 설치해와야 했었는데,

엄청나게 애를 먹었다.

그래도 결국에는 설치를 성공해서, 실습을 할 수 있게 되어 다행이다.

이제는 28개를 분할 정복하는 일만 남았다.

Divide and conquer!

728x90

🥖 비소야 블로그

IT@Security 보안컨설팅 #3 그누보드 취약점 분석_주통기 웹 항목

티스토리툴바