"OWASP"의 두 판 사이의 차이
(새 문서: Open Web Application Security Project 분류:용어) |
|||
| 1번째 줄: | 1번째 줄: | ||
Open Web Application Security Project | Open Web Application Security Project | ||
| + | |||
| + | == Top Ten Overview (2013) == | ||
| + | |||
| + | === A1 === | ||
| + | |||
| + | === A2 === | ||
| + | |||
| + | === A3 === | ||
| + | |||
| + | === A4 === | ||
| + | |||
| + | === A5 === | ||
| + | |||
| + | === A6 === | ||
| + | |||
| + | === A7 === | ||
| + | |||
| + | === A8 Cross-Site Request Forgery (CSRF) (크로스 사이트 요청 변조) === | ||
| + | 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말한다. CSRF 공격은 로그온 된 피해자의 취약한 웹 애플리케이션에 피해자의 세션 쿠키와 기타 다른 인증정보를 자동으로 포함하여 위조된 HTTP 요청을 강제로 보내도록 하는 것이다. 이것은 공격자가 취약한 애플리케이션이 피해자로부터의 정당한 요청이라고 오해할 수 있는 요청들을 강제로 만들 수 있다. | ||
| + | |||
| + | ==== 방어방법 ==== | ||
| + | |||
| + | ===== Referrer검증 ===== | ||
| + | 서버에서 검증 | ||
| + | |||
| + | ===== Security Token사용 ===== | ||
| + | 로그인 폼등에서 세션에 보안토큰을 생성해서 저장하고, 사용자가 로그인 요청시에 보안토큰과 세션에 저장된 보안토큰이 일치하는지 확인한다. | ||
| + | |||
| + | 출처: https://ko.wikipedia.org/wiki/사이트_간_요청_위조 | ||
| + | |||
| + | === A9 === | ||
| + | |||
| + | === A10 === | ||
| + | 출처: https://ko.wikipedia.org/wiki/OWASP | ||
[[분류:용어]] | [[분류:용어]] | ||
2022년 4월 12일 (화) 05:17 기준 최신판
Open Web Application Security Project
목차
Top Ten Overview (2013)[편집 | 원본 편집]
A1[편집 | 원본 편집]
A2[편집 | 원본 편집]
A3[편집 | 원본 편집]
A4[편집 | 원본 편집]
A5[편집 | 원본 편집]
A6[편집 | 원본 편집]
A7[편집 | 원본 편집]
A8 Cross-Site Request Forgery (CSRF) (크로스 사이트 요청 변조)[편집 | 원본 편집]
사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말한다. CSRF 공격은 로그온 된 피해자의 취약한 웹 애플리케이션에 피해자의 세션 쿠키와 기타 다른 인증정보를 자동으로 포함하여 위조된 HTTP 요청을 강제로 보내도록 하는 것이다. 이것은 공격자가 취약한 애플리케이션이 피해자로부터의 정당한 요청이라고 오해할 수 있는 요청들을 강제로 만들 수 있다.
방어방법[편집 | 원본 편집]
Referrer검증[편집 | 원본 편집]
서버에서 검증
Security Token사용[편집 | 원본 편집]
로그인 폼등에서 세션에 보안토큰을 생성해서 저장하고, 사용자가 로그인 요청시에 보안토큰과 세션에 저장된 보안토큰이 일치하는지 확인한다.
출처: https://ko.wikipedia.org/wiki/사이트_간_요청_위조
