SegFault 보안 스터디에서는 실무 기반의 모의해킹 실습과 보고서 작성 과정을 경험했습니다. 특히 전자금융기반시설의 보안 취약점 평가 기준을 바탕으로 실습을 진행했고, 주요 웹 취약점에 대한 이해도를 높일 수 있었습니다.
✅ 실습 내용
- 웹 취약점 분석
- SQL Injection
- XSS (Cross-Site Scripting)
- CSRF (Cross-Site Request Forgery)
- 인증/인가 우회
- 전자금융기반시설 보안 평가 기준 기반 진단
- ‘전자금융기반시설 취약점 분석·평가 기준 v1.0’에 따라 항목별로 분석
🔍 주요 결과
- 주요 발견 취약점 목록
- SQL Injection
- 위치: 로그인 페이지 (index.php)
- 문제: 사용자 입력값에 대한 필터링이 없어 SQL Injection 가능
- 인가 우회
- 위치: 자유게시판 게시글 삭제 (delete.php)
- 문제: 로그인하지 않은 상태에서도 URL 직접 접근 시 게시글 삭제 가능
- 자동화 공격 (봇 작성)
- 위치: 자유게시판 글쓰기 처리 페이지 (write_ok.php)
- 문제: 캡차나 인증 절차가 없어 봇에 의한 자동화 게시물 등록 가능
- CSRF (크로스사이트 요청 위조)
- 위치: 자유게시판 글 읽기 (read.php)
- 문제: 사용자의 의도와 관계없이 악의적인 요청을 서버에 전달 가능
- 디렉토리 인덱스 노출
- 위치: 문의게시판 (/board/)
- 문제: 디렉토리 접근 시 내부 파일 목록이 그대로 노출됨
- XSS (크로스사이트 스크립팅)
- 위치: 게시글 검색 결과 페이지 (search_result.php)
- 문제: 검색어 입력값에 스크립트 삽입이 가능하여 반영형 XSS 발생
- SQL Injection
- 보고서 작성 및 제안
- 취약점별 상세 설명 및 증적 캡처
- 대응 방안 및 개선 조치 권고사항 작성
📎 [👇 최종 보고서 보기 (PDF)]
'IT 성장기 (교육이수) > 모의해킹 스터디 (2024.04-09)' 카테고리의 다른 글
| [정보보안] Cross Site Request Forgery 공격 (0) | 2024.07.05 |
|---|---|
| [정보보안] XSS 취약점의 정의와 종류 (0) | 2024.07.03 |
| [정보보안] Error based & Blind SQL Injection 실행 방법 (0) | 2024.07.02 |
| [webDev] 로그인 로직 구성 (식별과 인증) (0) | 2024.05.26 |
| [정보보안] UNION based SQL Injection 실행 방법 (1) | 2024.05.25 |