Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- 크롤링 개발
- 고등학생 대상
- ChatGPT
- Resnet
- VSCode
- colab
- Github
- Database
- 코딩도장
- ICT멘토링
- Spring Boot
- rnn
- Machine Learning
- Rocky Linux
- KAKAO
- Python
- suricata
- 국가과제
- git
- cloud
- OSS
- LINUX MASTER
- API
- GoogleDrive
- 인터넷의이해
- Spring
- Web
- Docker
- Powershell
- C언어
Archives
- Today
- Total
코딩두의 포트폴리오
취약점(vulnerability) 본문
취약점이란?
공격자가 시스템의 정보 보증을 낮추는데 사용되는 약점
컴퓨터 시스템, 네트워크, 소프트웨어 등에서 발견할 수 있는 보안 결함
취약점 유형
소프트웨어 취약점
프로그래밍 오류, 설계의 결함 등으로 발생
공격자가 시스템을 손상, 민감한 정보에 접근 가능
네트워크 취약점
네트워크 설정 오류, 프로토콜 약점 등으로 발생
불법적 접근, 데이터 유출 초래
운영체제 취약점
운영 체제 결함, 약점으로 공격자 권한 상승 및 시스템 제어 가능
물리적 취약점
보안 시스템의 물리적 약점으로 물리적 침입, 기기 절도 발생 가능
웹 취약점
웹 사이트, 웹 애플리케이션에서 발견될 수 있는 취약점
공격자가 데이터 도용, 시스템 무단 접근, 서비스 방해 등의 악의적 행위 가능
취약점 종류
소프트웨어 취약점
- 버퍼 오버플로우: 프로그램이 예상치 못한 많은 데이터를 받을 때 메모리 버퍼를 초과하여 인접한 메모리 영역을 덮어쓸 수 있는 취약점.
- SQL 인젝션: 악의적인 SQL 코드가 데이터베이스 시스템에 주입되어 실행되게 하는 취약점.
- 크로스 사이트 스크립팅 (XSS): 사용자의 웹 브라우저 내에서 스크립트가 실행되게 함으로써 발생하는 취약점.
운영 체제 취약점
- 권한 상승: 사용자가 운영 체제의 보안 제한을 우회하여 더 높은 권한을 획득할 수 있는 취약점.
- 서비스 거부 (DoS): 시스템 자원을 과도하게 사용하게 하여 정상적인 서비스를 방해하는 취약점.
네트워크 취약점
- 맨 인 더 미들 (MitM) 공격: 통신 경로 중간에서 데이터를 가로채는 취약점.
- 재사용 가능한 패스워드: 암호화되지 않은 패스워드를 네트워크를 통해 전송할 때 발생할 수 있는 취약점.
하드웨어 취약점
- 사이드 채널 공격: 하드웨어의 물리적 구현에서 발생하는 정보 유출을 통해 비밀 정보를 추출하는 취약점.
- 펌웨어 취약점: 임베디드 시스템의 펌웨어에 존재하는 보안 결함.
인적 요소 및 절차적 취약점
- 피싱: 속임수를 사용하여 개인 정보를 얻어내는 취약점.
- 정책 및 절차 미흡: 조직의 보안 정책이나 실행 절차가 충분히 강화되지 않아 발생하는 취약점.
물리적 취약점
- 무단 접근: 보안이 취약한 물리적 장소를 통해 발생하는 취약점.
- 환경적 요인: 화재, 물리적 손상 등으로 인한 보안 취약점.
웹 취약점 종류
SQL 인젝션 (SQL Injection)
- 웹 애플리케이션에서 데이터베이스 쿼리를 구성할 때 사용자 입력을 적절히 검증하지 않을 때 발생
- 공격자는 이 취약점을 이용하여 악의적인 SQL 쿼리를 데이터베이스에 전송할 수 있으며,
- 이를 통해 데이터베이스에서 데이터를 읽거나 수정, 삭제 가능
크로스 사이트 스크립팅 (XSS)
- 공격자가 웹 페이지에 악성 스크립트를 주입하는 보안 취약점
- 이 스크립트는 다른 사용자의 브라우저에서 실행
- 세션 쿠키를 탈취하거나, 피싱 공격을 시도하거나, 사용자의 행동을 조작 가능
- 주로 웹 애플리케이션이 사용자 입력을 적절히 검증하지 않을 때 발생
크로스 사이트 요청 위조 (CSRF)
- 사용자가 이미 로그인한 상태의 웹 애플리케이션에서 공격자가 사용자가 의도하지 않은 행동을 하도록 만드는 공격
- ex) 사용자가 은행의 웹사이트에 로그인한 상태에서 공격자가 생성한 악의적인 웹페이지를 방문할 경우
- 이 페이지는 사용자 몰래 금융 거래를 실행 가능
보안 미흡한 인증
- 웹 애플리케이션에서 인증 절차가 적절히 보호되지 않는 경우 발생
- 공격자는 비밀번호 크래킹, 세션 하이재킹, 무작위의 계정에 접근할 수 있게 하는 등의 방법을 사용 가능
민감한 데이터 노출
- 웹 애플리케이션에서 민감한 정보를 암호화하지 않고 전송하거나 저장하는 경우
- 공격자는 데이터를 가로채거나 노출된 데이터베이스에서 정보를 읽을 수 있음
- 신용카드 번호, 개인 식별 정보, 로그인 자격증명 등이 포함 가능
보안 미흡한 객체 참조
- 웹 애플리케이션에서 사용자가 접근할 수 없어야 하는 내부 객체에 접근할 수 있게 하는 취약점
- ex) 사용자가 수정 권한이 없는 데이터를 수정 가능, 파일 시스템의 보호되어야 할 부분에 접근 가능
'vulnerability' 카테고리의 다른 글
| 버프 스위트(Burp Suite) (0) | 2024.05.16 |
|---|---|
| 운영체제 명령 실행 (Command Injection) (0) | 2024.05.13 |
| LDAP 인젝션 (LDAP Injection) (0) | 2024.05.12 |
| 포맷 스트링 (Format String) (1) | 2024.05.12 |
| 버퍼 오버플로우(Buffer Overflow) (0) | 2024.05.10 |
'vulnerability' Related Articles
more
