공지사항
1. 버퍼 오버플로우 WEB [BO] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드
가. 취약점 개요 ■ 내용 : 사용자가 입력한 파라미터 값의 문자열 길이 제한 확인 ■ 목적 : 웹 사이트에서 사용자가 입력한 파라미터 값의 문자열 길이 제한 여부를 점검하여 비정상적 오
jaeminsg.tistory.com
2. 포맷 스트링 WEB[FS] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드
가. 취약점 개요 ■ 내용 : 웹 애플리케이션에 포맷 스트링 취약점 존재 여부 점검 ■ 목적 : 공격자의 포맷 스트링 취약점을 통한 악의적인 행위를 차단하기 위함 ■ 보안 위협 - C
jaeminsg.tistory.com
3. LDAP 인젝션 WEB [LI] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드
가. 취약점 개요 ■ 내용 : 웹페이지 내 LDAP 인젝션 취약점 점검 ■ 목적 : 취약한 시스템에 신뢰할 수 없는 LDAP 코드 삽입 공격을 통한 비인가자의 악의적인 행위를 차단하기 위함 ■ 보
jaeminsg.tistory.com
4. 운영체제 명령 실행 WEB [OC] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이
가. 취약점 개요 ■ 내용 : 웹 사이트 내 운영체제 명령 실행 취약점 존재 여부 점검 ■ 목적 : 적절한 검증절차를 거치지 않은 사용자 입력 값에 의해 의도하지 않은 시스템 명령어가 실행
jaeminsg.tistory.com
5. SQL 인젝션 WEB [SI] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021)
가. 취약점 개요 ■ 내용 : 웹페이지 내 SQL 인젝션 취약점 존재 여부 점검 ■ 목적 : 대화형 웹 사이트에 비정상적인 사용자 입력 값 허용을 차단하여 악의적인 데이터베이스 접근 및 조작
jaeminsg.tistory.com
7. XPath 인젝션 WEB [XI] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021)
가. 취약점 개요 ■ 내용 : 웹페이지 내 조작된 XPath 쿼리 공격 가능성 점검 ■ 목적 : XPath 쿼리에 대한 적절한 필터링을 적용하여 웹 사이트의 로직 손상 및 특정 데이터 추출을 차단하기
jaeminsg.tistory.com
8. 디렉터리 인덱싱 WEB [DI] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2
가. 취약점 개요 ■ 내용 : 웹 서버 내 디렉터리 인덱싱 취약점 존재 여부 점검 ■ 목적 : 디렉터리 인덱싱 취약점을 제거하여 특정 디렉터리 내 불필요한 파일 정보의 노출을 차단 ■ 보
jaeminsg.tistory.com
9. 정보 누출 WEB [IL] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021)
가. 취약점 개요 ■ 내용 : 웹 서비스 시 불필요한 정보가 노출되는지 여부 점검 ■ 목적 : 웹 서비스 시 불필요한 정보가 노출되는 것을 방지함으로써 2차 공격에 활용될 수 있는 정보 노출
jaeminsg.tistory.com
10. 악성 콘텐츠 WEB [CS] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021
가. 취약점 개요 ■ 내용 : 게시판 등에 악성 콘텐츠 삽입 및 실행 여부 점검 ■ 목적 : 사이트 내 악의적인 콘텐츠 삽입 및 실행을 방지하기 위함 ■ 보안 위협 - 웹 사이트 게시판,
jaeminsg.tistory.com
11. 크로스사이트 스크립팅 WEB [XS] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세
가. 취약점 개요 ■ 내용 : 웹 사이트 내 크로스사이트 스크립팅 취약점 존재 여부 점검 ■ 목적 : 웹 사이트 내 크로스사이트 스크립팅 취약점을 제거하여 악성 스크립트의 실행을 차단 ■
jaeminsg.tistory.com
12. 약한 문자열 강도 WEB [BF] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이
가. 취약점 개요 ■ 내용 : 웹페이지 내 로그인 폼 등에 약한 강도의 문자열 사용 여부 점검 ■ 목적 : 유추 가능한 취약한 문자열 사용을 제한하여 계정 및 패스워드 추측 공격을 방지하기
jaeminsg.tistory.com
13. 불충분한 인증 WEB [IA] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2
가. 취약점 개요 ■ 내용 : 중요 페이지 접근 시 추가 인증 요구 여부 점검 ■ 목적 : 중요 페이지에 추가 인증으로 접근을 강화하여 불필요한 정보의 노출 및 변조를 차단하기 위함 ■
jaeminsg.tistory.com
14. 취약한 패스워드 복구 WEB [PR] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세
가. 취약점 개요 ■ 내용 : 웹 사이트 내 패스워드 복구 절차의 적절성 점검 ■ 목적 : 패스워드 복구 로직을 유추하기 어렵게 구현하고, 인증된 사용자 메일이나 SMS에서만 복구 패스워드를
jaeminsg.tistory.com
15. 크로스사이트 리퀘스트 변조(CSRF) WEB [CF] - 주요정보통신기반시설 기술적 취약점 분석 평가
가. 취약점 개요 ■ 내용 : 사용자의 신뢰(인증) 정보의 변조 여부 점검 ■ 목적 : 사용자 입력 값에 대한 적절한 필터링 및 인증에 대한 유효성을 검증하여 신뢰(인증) 정보 내의 요청(Request
jaeminsg.tistory.com
16. 세션 예측 WEB [SE] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021)
가. 취약점 개요 ■ 내용 : 단순한 방법(연속된 숫자 할당 등)으로 생성되는 세션 ID를 예측하여 세션 탈취 여부 점검 ■ 목적 : 사용자의 세션ID를 추측 불가능하도록 난수로 생성하여 공격
jaeminsg.tistory.com
17. 불충분한 인가 WEB [IN] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2
가. 취약점 개요 ■ 내용 : 민감한 데이터 또는 기능에 접근 및 수정 시 통제 여부 점검 ■ 목적 : 접근 권한에 대한 검증 로직을 구현하여 비인가자의 악의적인 접근을 차단하기 위함 ■
jaeminsg.tistory.com
18. 불충분한 세션 만료 WEB [SC] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가
가. 취약점 개요 ■ 내용 : 세션의 만료 기간 설정 여부 점검 ■ 목적 : 세션 타임아웃 기능을 구현하여 공격자가 만료되지 않은 세션 활용을 방지하기 위함 ■ 보안 위협 - 세션의
jaeminsg.tistory.com
19. 세션 고정 WEB [SF] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021)
가. 취약점 개요 ■ 내용 : 사용자 로그인 시 항상 일정하게 고정된 세션 ID 값을 발행하는지 여부 확인 ■ 목적 : 로그인할 때마다 예측 불가능한 새로운 세션 ID를 발행하여 세션 ID의 고정
jaeminsg.tistory.com
20. 자동화 공격 WEB [AU] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021)
가. 취약점 개요 ■ 내용 : 웹 애플리케이션의 특정 프로세스(로그인 시도, 게시글 등록, SMS 발송 등)에 대한 반복적인 요청 시 통제 여부 확인 ■ 목적 : 무차별 대입 공격 및 자동화 공격으
jaeminsg.tistory.com
21. 프로세스 검증 누락 WEB [PV] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가
가. 취약점 개요 ■ 내용 : 인증이 필요한 웹 사이트의 중요(관리자 페이지, 회원변경 페이지 등) 페이지에 대한 접근제어 설정 여부 확인 ■ 목적 : 인증이 필요한 모든 페이지에 대해 유효
jaeminsg.tistory.com
22. 파일 업로드 WEB [FU] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021
가. 취약점 개요 ■ 내용 : 웹 사이트의 게시판, 자료실 등에 조작된 Server Side Script 파일 업로드 및 실행 가능 여부 점검 ■ 목적 : 업로드되는 파일의 확장자에 대한 적절성 여부를 검증하
jaeminsg.tistory.com
23. 파일 다운로드 WEB [FD] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2
가. 취약점 개요 ■ 내용 : 웹 사이트에서 파일 다운로드 시 허용된 경로 외 다른 경로의 파일 접근이 가능한지 여부 점검 ■ 목적 : 파일 다운로드 시 허용된 경로 외 다른 경로의 파일 접
jaeminsg.tistory.com
24. 관리자 페이지 노출 WEB [AE] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가
가. 취약점 개요 ■ 내용 : 유추하기 쉬운 URL로 관리자 페이지 및 메뉴 접근의 가능 여부 점검 ■ 목적 : 관리자 페이지 URL이 유추하기 쉬운 이름(admin, manager 등) 및 웹 사이트 설계 오류를
jaeminsg.tistory.com
25. 경로 추적 WEB [PT] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021)
가. 취약점 개요 ■ 내용 : 웹 서버와 웹 애플리케이션의 파일 또는 디렉터리의 접근 통제 여부 점검 ■ 목적 : 웹 서버 또는 웹 애플리케이션의 중요한 파일과 데이터의 접근 및 실행을 방
jaeminsg.tistory.com
26. 위치 공개 WEB [PL] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021)
가. 취약점 개요 ■ 내용 : 예측 가능한 폴더의 위치 사용 여부 및 불필요한 파일의 존재 여부 점검 ■ 목적 : 공격자가 폴더의 위치를 예측하여 파일 및 정보 획득을 방지하고자 함 보안 위
jaeminsg.tistory.com
27. 데이터 평문 전송 WEB [SN] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이
가. 취약점 개요 ■ 내용 : 서버와 클라이언트 간 통신 시 데이터의 암호화 여부 점검 ■ 목적 : 서버와 클라이언트 간 통신 시 데이터의 암호화 전송 미흡으로 정보 유출의 위험을 방지하
jaeminsg.tistory.com
28. 쿠키 변조 WEB [CC] - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021)
가. 취약점 개요 ■ 내용 : 쿠키 사용 여부 및 사용하는 경우 안전한 알고리즘으로 암호화 여부 점검 ■ 목적 : 쿠키를 사용하는 경우 안전한 알고리즘으로 암호화하여 공격자가 쿠키 인젝
jaeminsg.tistory.com