Web Application Security

웹 애플리케이션 기능은 무엇이 있을까?

-소셜 네트워킹

-인터넷 뱅킹

-웹 검색

-웹 메일

정도가 있다

 

HTTP protocol feature -> connectless 기반

 

browser program: 실용적이고 다양한 사용자 인터페이스를 구축하게 함

기본적으로 build된 browser: 사용자 인터페이스에 대한 변경은 서버에서만 이루어짐

 

웹 애플리케이션 개발 환경은 platform이나 development tool이 제공됨 -> open source code and resource 사용 가능

 

웹 애플리케이션 취약점

1. SSL(secure socket layer)

사용자의 브라우저와 웹 서버 사이에 교환되는 데이터의 무결성/기밀성을 보호하는데 사용됨

server, application의 client component들에 대한 direct attack을 방어하지 못함

 

2. 인증 실패

애플리케이션의 로그인 메커니즘과 관련한 다양한 취약점

추측 가능한 패스워드, brute force attack, authentication detour attack이 있음

 

3. access control failures

공격자의 불법적인 접근을 보호하지 못함

 

4. SQL injection attack

조작된 input을 application에 제공해 app과 DB의 연동을 방해함

-> 많은 방어책이 있어서 가능성이 낮음

 

5. XSS

웹 페이지에 악성 스크립트 삽입

 

6. information spillage

정보들이 공격자에게 유출됨

 

이 모든 것을 관통하는 핵심은 사용자가 임의의 입력 값을 제공할 수 있다는 것