웹 보안 취약점

SQL Injection (SQL 삽입)

응용 프로그램 보안상의 허점을 의도적으로 이용해, 악의적인 SQL문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 코드 인젝션 공격 방법이다.

방어 방법

- 블랙리스트 방식
제한할 문자를 리스트로 작성하여 해당 리스트에 있는 문자를 사용하지 못하도록 하는것.

- 화이트 리스트 방식
블랙리스트 방식과는 반대로, 입력을 허용할 문자를 리스트로 작성하여 해당 리스트에 있는 문자 외에는 사용하지 못하도록 하는것.

- SQL오류가 발생하였을시 에러페이지를 이용하여 에러 메세지를 표시하지않게 오류 메세지 출력을 제한

- Prepared statement를 사용하여 사용사의 입력을 쿼리문으로부터 분리시킨다.

 

XSS(크로스 사이트 스크립팅)

웹 사이트 관리자가 아닌 사람이 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점

방어 방법

- HTML의 태그를 입력하는 부등호(< , >)를 입력하지 못하도록 한다.

- htmlspecialchars함수를 사용하여 특수문자(&, <, >, ", ' 등)를 HTML 엔티티로 바꾸어준다.

 

CSRF(크로스 사이트 변조요청)

사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(추가, 수정, 삭제 등)를 특정 웹 사이트에 요청하게 하는 공격이다.