[캡쳐 1] https://www.fsec.or.kr/user/bbs/fsec/21/13/bbsDataView/1776.do

1. 아이디어

- 피싱문자를 통한 개인정보 유출을 노리는 사회공학 공격을 예방

- 시용자 배너를 통한 입력 값 선택 후 선택 정보와 사용자 정보를 통해 핑거프린트 생성 

- 핑거프린트 전송 및 입력 값에 따른 페이지 생성, 응답

2. 근거

2.1) 피해 사례 지속 발생

- 21.04.15 금감원에서 공개한 "20년 보이스피싱 피해 현황"에서 메신저 피싱의 피해가 증가하고 있음을 확인 가능

- 해당 문서를 통해 5~60대가 전체 피해의 85.8%를 차지하며, 전반적으로 4~60대의 피해가 높음

 

2.2) 보안 교육

- 피싱 사이트에 대한 피해를 예방하기 위해 시행하는 보안 교육 중 "출처가 불분명한 URL 접근하지 않거나 주의"가 다수.

- 단순히 사용자의 주의를 요하는 형태로 볼 수 있으며, 관련된 피해가 발생하고 있음

 

2.3) 실질적인 피해가 발생하는 지점은 일반 사용자 단말

 - 사내 환경은 보안 솔루션을 통해 보안성이 보장되나, 사용자 단말(PC, 휴대폰, 태블릿 등)은 비교적 보안성이 낮음

- 실질적으로 피싱 사이트 등을 이용한 사회공학 공격의 피해가 발생하는 지점은 사용자 단말임

- 사용자에게 접속한 사이트가 피싱 사이트인지 정상 사이트인지 직관적으로 판단하기 위한 정보가 부재함.

 

3. 흐름도

[캡쳐 2] 흐름도

4. 기대효과

4.1) 공격준비의 어려움

- 기존의 사회공학 공격은 사용자만을 속이면 개인정보를 손 쉽게 탈취할 수 있음.

- 해당 프로세스의 경우 공격자는 인증기관, 기업에게 각각의 주체인 것처럼 속여야 함.

- 또한, 공격자는 사용자 배너를 통해 선택한 입력값이 무엇인지, 어떤 입력 값을 선택하였는지 알 수 없음.

 

4.2) 사용자에게 좀 더 직관적인 정보 제공 및 개인정보 유출 최소화

- 사용자는 접속한 사이트가 피싱 사이트인지 정상 사이트인지 명확히 구분하기 어려움

- 해당 프로세스의 경우 사용자가 생성한 핑거프린트 정보를 인증기관이 인증하고, 기업이 재검증함.

- 검증 후 최종 페이지를 인증기관을 거쳐 응답하므로, 사용자에게 정당한 페이지라는 것을 입증할 수 있음.

 

4.3) 기업에 대한 신뢰도 상승

- 사용자들이 신뢰하는 혹은 이용하는 서비스를 제공하는 기업을 사칭하여 개인정보 입력 유도.

- 해당 프로세스를 통해 사용자들에게 기업에 대한 인식과 신뢰도를 유지하거나 향상될 수 있음.

제18조(개인정보의 목적 외 이용ㆍ제공 제한)

① 개인정보처리자는 개인정보를 제15조제1항 및 제39조의3제1항 및 제2항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다. <개정 2020. 2. 4.>

② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 

다만, 이용자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제4호에 해당하는 자를 말한다. 이하 같다)의 개인정보를 처리하는 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제3호에 해당하는 자를 말한다. 이하 같다)의 경우 제1호ㆍ제2호의 경우로 한정하고, 제5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다. <개정 2020. 2. 4.>
1. 정보주체로부터 별도의 동의를 받은 경우
2. 다른 법률에 특별한 규정이 있는 경우
3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
4. 삭제 <2020. 2. 4.>
5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의ㆍ의결을 거친 경우
6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
8. 법원의 재판업무 수행을 위하여 필요한 경우
9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우

③ 개인정보처리자는 제2항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보를 제공받는 자
2. 개인정보의 이용 목적(제공 시에는 제공받는 자의 이용 목적을 말한다)
3. 이용 또는 제공하는 개인정보의 항목
4. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다)
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

[캡쳐 1] 작성 예시


공공기관은 제2항제2호부터 제6호까지, 제8호 및 제9호에 따라 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우에는 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 보호위원회가 고시로 정하는 바에 따라 관보 또는 인터넷 홈페이지 등에 게재하여야 한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>

⑤ 개인정보처리자는 제2항 각 호의 어느 하나의 경우에 해당하여 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 그 밖에 필요한 사항에 대하여 제한을 하거나, 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 요청하여야 한다. 이 경우 요청을 받은 자는 개인정보의 안전성 확보를 위하여 필요한 조치를 하여야 한다.

필드명 타입 설명
StudentID INT 학번
Name VARCHAR(20) 성명
ID VARCHAR(20) 계정명
PW VARCHAR(20) 비밀번호

[캡쳐 1] DB 생성 및 사용

1. DDL (Data Definition Language)

- 데이터 정의어

- 역할 : 데이터베이스를 정의하는 언어로, 데이터 생성, 수정, 삭제 등 데이터 전체 골격을 결정

- 사용자 : 데이터베이스 설계자, 관리자

1.1) CREATE

- 데이터베이스와 테이블 생성

CREATE TABLE 테이블이름
(
    필드이름1 필드타입1,
    필드이름2 필드타입2,
    ...
)

[캡쳐 2] user 테이블 생성

- 첫번째 값인 studentID는 int형이며, NULL 값을 가질 수 없음(not null). 또한 기본키로 지정(primary key)

- name(성명), pw(비밀번호)는 varchar(가변 자료형)

[캡쳐 3] 구조 확인

1.2) ALTER

- 데이터베이스와 테이블의 내용 수정

ALTER TABLE [테이블명] ADD COLUMN [추가할컬럼명] [컬럼타입] DEFAULT [기본값] [컬럼위치]
 // [컬럽위치] after : 특정 필드 뒤, first : 맨 처음의 필드

필드 삭제 : ALTER TABLE 테이블명 DROP 삭제할 필드명;
필드 타입 수정 : ALTER TABLE 테이블명 MODIFY 필드명 타입;
테이블명 변경 : ALTER TABLE 이전테이블명 RENAME 새테이블명;

[캡쳐 4] user 테이블에 id 칼럼 추가

1.3) DROP

- 데이터베이스와 테이블 삭제

DROP TABLE 테이블명;

[캡쳐 5] 임의 테이블 생성 후 삭제

1.4) TRUNCATE

- 데이터베이스와 테이블 삭제

TRUNCATE TABLE 테이블명;

[캡쳐 6] TRUNCATE 명령 수행 결과

참고

DROP VS TRUNCATE VS DELETE

구분 DROP TRUNCATE DELETE
분류 DDL DDL DML
처리 속도 빠름 빠름 느림
삭제 방식 데이터베이스 또는 테이블 전체
저장되어 있는 데이터도 삭제
데이터베이스 또는 테이블이 아닌
저장되어 있는 데이터를 삭제
WHERE절을 사용해
특정 데이터를 골라서 삭제
복구 자동 COMMIT이 수행되어
복구 불가(ROLLBACK 불가)
자동 COMMIT이 수행되어
복구 불가(ROLLBACK 불가)
삭제한 데이터에 대하여
COMMIT 명령 수행 전이라면
ROLLBACK 명령을 통해 복구 가능

 

- MySQL 설치 참고

 

[Linux] 우분투에 MySQL 설치하기

1. MySQL 설치 전 준비 관리자 계정으로 접속하기 su - 패키지 리스트 업데이트 apt update 2. MySQL 설치 다음 명령어를 통해 데이터베이스 설치하기 apt install mysql-server -y 3. MySQL 설정하기 다음 명..

pinggoopark.tistory.com

'데이터베이스 > SQL 문법' 카테고리의 다른 글

SQL_DCL(Data Control Language)  (0) 2022.09.13
SQL_DML(Data Manipulation Language)  (0) 2022.09.05

[캡쳐 1] https://blog.naver.com/n_privacy/221558750874

1. 네이버 PER(Privacy Enhancement Reward) 제도

- 네이버에서 제공하고 있는 서비스들에 대해 프라이버시 및 개인정보 영역에서의 개선점에 대해 제보를 받고, 이에 대해 적절히 사례 및 보상을 하는 제도

2. 아이디어 및 근거

2.1) 아이디어

- 비밀번호 변경 시 이전 비밀번호와 유사도를 검사하여 유사도에 따른 비밀번호 사용주기 결정

2.2) 근거

개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제) 
⑦ 정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고, 이행한다.
⑧ 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용·운용하여야 한다.
1. 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고
3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경

- 사용자들은 다수의 서비스를 사용하고 있으며, 각 서비스별로 서로 유사하거나 동일한 비밀번호를 사용

- 비밀번호 설정 규칙, 이전 비밀번호 기억 등의 조치를 취하고 있으나, 여러 방법으로 이를 회피하여 비밀번호 재사용

- 비밀번호를 재사용하거나 일부분만을 변경하여 크리덴셜 스터핑, 무차별 대입 공격에 취약한 환경 생성

크리덴셜 스터핑 (Credential Stuffing) : 일종의 무차별 대입 공격(Brute Force Attack) 기법이지만, 데이터 침해에서 입수한 알려진 유효 인증 정보의 목록을 이용
무차별 대입 공격 (Brute Force Attack) : 무작위 혹은 미리 준비한 사전 등 가능한 모든 값을 반복적으로 대입하여 계정정보를 탈취하는 방식

- 즉, 동일하거나 유사한 비밀번호를 사용함으로써, 비밀번호 변경 의미 퇴색, 비밀번호 재사용으로 인한 취약성 증가 등의 문제가 예상

3. 한계점

3.1) 일방향 암호화

- 비밀번호는 일방향 암호화(ex. 해시 함수) 적용 후 저장됨

개인정보 보호법 시행령 제48조의2(개인정보의 안전성 확보 조치에 관한 특례)
① 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제3호에 해당하는 자를 말한다. 이하 같다)와 그로부터 이용자(같은 법 제2조제1항제4호에 해당하는 자를 말한다. 이하 같다)의 개인정보를 법 제17조제1항제1호에 따라 제공받은 자(이하 “정보통신서비스 제공자등”이라 한다)는 이용자의 개인정보를 처리하는 경우에는 제30조에도 불구하고 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 해야 한다.
4. 개인정보가 안전하게 저장ㆍ전송될 수 있도록 하기 위한 다음 각 목의 조치
가. 비밀번호의 일방향 암호화 저장

[캡쳐 2] 간단한 해시 값 비교

- [캡쳐 2]를 통해 단 한 글자의 변화만으로도 전혀 다른 결과 값이 출력되는 것을 알 수 있음.

3.2) 사용자 부담 증가

- 비밀번호 설정 시 높은 복잡도(=비밀번호 유사도)를 추가하는 것이 사용자 부담을 증가시켜 오히려 보안성이 하락하는 문제점이 발생 가능.

- NIST의 Digital Identity Guidelines에 비밀번호 복잡성과 관련된 내용이 확인되는데 요약하면 다음과 같음.

"비밀번호 설정과 관련하여 복잡한 조건들을 추가하는 것이
오히려 사용자들이 비밀번호를 제대로 관리하지 않게되는 결과를 낳게되고,
이러한 결과로 인해 보안성이 떨어지며 이용자 보호 측면에서의 실익이 없다"
- Authentication and Lifecycle Management P.68 -

 

 

NIST SP 800-63 Digital Identity Guidelines

NIST Special Publication 800-63 Digital Identity Guidelines

pages.nist.gov

침해 사고 정보
일자 2021/08/29
침해 정보 개인정보 (이름, 연락처, 이메일 등)
특징 미흡한 조치(직원의 실수)
피해크기 2,000명
침해 사고 분석
경위 2022.05.24 ~ 2022.06.07 2주간 "한국납부발전 유튜브 채널 - 유투브 구독 좋아요 이벤트" 행사 진행
 
② 2022.06.08 ~ 2022.06.17 9일간 파일을 첨부한 "당첨자 알림 게시" 글 작성
 
해당 게시글의 첨부파일에는 당첨자의 이름, 연락처, 이메일 등의 개인정보가 그대로 유출
 
2022.08.23 사항 인지 및 2022.08.26 홈페이지에 팝업을 통한 사과문 게시
원인 개인정보 처리와 관련된 내부 실수
- 해당 엑셀 파일에는 비당첨자 정보가 '숨김'처리 돼있었고, 이를 해제하면 고객 정보가 공개되는 내부 실수로 발생한 것
조치 ① 홈페이지에 "개인정보 유출 사과문" 팝업 게시
- 홈페이지 접속 시 사과문 전문이 확인되는 것이 아니라, 내용 클릭 후  전문을 열람할 수 있음
- 또한, "개인정보 유출여부 확인하기"를 클릭 후 유출 유무를 확인가능
 
② 내부 통제 시스템 강화 및 임직원 교육 등 조치를 취하겠다 발표
 
한국인터넷진흥원이 관련 조사를 진행하고 있으며, 결과에 따라 보상안을 마련할 것이라 발표
기타 - 개인정보보호법 제3조(개인정보 보호 원칙) 7항
⑦ 개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다. <개정 2020. 2. 4.>

- 개인정보보호법 제29조(안전조치의무) 
개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.

- 개인정보보호법 제34조(개인정보 유출 통지 등)

'침해사고 > 개인정보' 카테고리의 다른 글

서울대학교병원 개인정보 유출  (0) 2023.05.10
인터파크 개인정보 유출  (0) 2023.04.16
빗썸 개인정보 유출  (0) 2022.08.24
페이스북 개인정보 유출  (0) 2022.07.26
카드 3사 개인정보 유출  (0) 2022.07.16

1. robots.txt

- 로봇배제표준(robots exclusion protocol)

- 웹 사이트에 웹 크롤러와 같은 로봇들의 접근을 제어하기 위한 규약으로, 루트디렉토리에 위치

- 크롤러란 조직적, 자동화된 방법으로 웹을 탐색하는 컴퓨터 프로그램

[캡쳐 1] 구글 robots.txt 중 일부

2. 작성 양식

- 해당 파일은 [캡쳐 1]에서도 볼 수 있듯이 User-agent, Disallow, Allow로 이루어져 있음.

User-agent : robots.txt 파일의 규칙을 적용할 로봇의 이름
Disallow : 차단할 URL 경로
Allow : 허용할 URL 경로

- Disallow, Allow 항목을 적절히 잘 조합하여 사용.

2.1) 작성예시

모든 로봇 허용

User-agent: *
Disallow:

모든 로봇 금지

User-agent: *
Disallow: /

3. 관점

3.1) 해커 관점

- 민감한 정보를 저장하고 있는 페이지에 대해 웹 크롤러가 접근하지 못하도록 Disallow에 해당 URL 설정 

- robots.txt에 접근한 해커들은 Disallow에 설정된 URL에 민감정보가 저장되어 있을 것이라 추측 및 관련된 공격 시도 가능

3.2) 보안 관점

- 해커들이 해당 파일을 통해 정보를 획득할 수 있으므로 일부 취약점 스캐너에 포함되어 있는 경우도 있음

- 누구나 접근할 수 있으므로, 적절한 접근제어 조치를 취하여야 함

'취약점 > 기타' 카테고리의 다른 글

Deface Attack_중국 샤오치잉 해킹 그룹  (0) 2023.04.10
IFS(Internal Field Separator) String  (0) 2023.02.01
DNS Zone Transfer  (0) 2022.12.07
Brute Force Attack  (0) 2022.11.16
TLS OpenSSL HeartBleed Vulnerability(CVE-2014-0160)  (0) 2022.09.29

제17조(개인정보의 제공)

① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다. <개정 2020. 2. 4.>

1. 정보주체의 동의를 받은 경우
2. 제15조제1항제2호ㆍ제3호ㆍ제5호 및 제39조의3제2항제2호ㆍ제3호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우

② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.

1. 개인정보를 제공받는 자
2. 개인정보를 제공받는 자의 개인정보 이용 목적
3. 제공하는 개인정보의 항목
4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

[캡쳐 1] 작성 예시

 

③ 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 제2항 각 호에 따른 사항을 정보주체에게 알리고 동의를 받아야 하며, 이 법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.

④ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 제공할 수 있다. <신설 2020. 2. 4.>

[캡쳐 1] OWASP (https://owasp.org/)

1. OWASP TOP 10

- OWASP(Open Web Application Security Project)는 오픈소스 웹 애플리케이션 보안 프로젝트로, 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구

- OWASP에서 3~4년에 한번씩 10대 애플리케이션 취약점을 발표하며, 이것이 OWASP TOP 10

- 즉, 웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들 10가지를 선정한 문서

2. OWASP TOP 10 2021 목록

[캡쳐 2] OWASP TOP 10 2021 (https://owasp.org/)

A01 : Broken Access Control (접근 권한 취약점)

- 접근 제어는 사용자가 권한을 벗어나 행동할 수 없도록 정책을 적용.

- 만약 엑세스 제어가 취약하면 사용자는 주어진 권한을 벗어나 모든 데이터를 무단으로 열람, 수정 혹은 삭제 등의 행위가 가능해짐

A02 : Cryptographic Failures (암호화 오류) 

- Sensitive Data Exposure(민감 데이터 노출)의 명칭이 변경.

- 적절한 암호화가 이루어지지 않으면 민감 데이터가 노출될 수 있음

A03: Injection (인젝션) 

- 신뢰할 수 없는 데이터가 명령어나 쿼리문의 일부분으로써, 인터프리터로 보내질 때 취약점이 발생 

A04: Insecure Design (안전하지 않은 설계)

- 누락되거나 비효율적인 제어 설계로 표현되는 다양한 취약점을 나타내는 카테고리

- 안전하지 않은 설계와 안전하지 않은 구현에는 차이가 있지만, 안전하지 않은 설계에서 취약점으로 이어지는 구현 결함이 있을 수 있음.

A05: Security Misconfiguration (보안설정오류)

- 최신 보안기능이 비활성화 되거나 안전하지 않게 구성되었을 때 발생합니다.

- Ex) 애플리케이션 스택의 적절한 보안 강화가 누락되었거나 클라우드 서비스에 대한 권한이 적절하지 않게 구성되었을 때, 불필요한 기능이 활성화 되거나 설치되었을 때, 기본계정 및 암호화가 변경되지 않았을 때, 지나치게 상세한 오류 메세지를 노출할 때

A06: Vulnerable and Outdated Components (취약하고 오래된 요소) 

- 지원이 종료되었거나 오래된 버전을 사용할 때 발생

- 애플리케이션 뿐만 아니라, DBMS, API 및 모든 구성요소 들이 포함

A07: Identification and Authentication Failures (식별 및 인증 오류)

- Broken Authentication(취약한 인증)이 identification failures(식별 실패)까지 포함하여 더 넓은 범위를 포함할 수 있도록 변경.

- 사용자의 신원확인, 인증 및 세션관리가 적절히 되지 않을 때 취약점이 발생 가능

A08: Software and Data Integrity Failures(소프트웨어 및 데이터 무결성 오류)

- 2021년 새로 등장한 카테고리

- 무결성을 확인하지 않고 소프트웨어 업데이트, 중요 데이터 및 CI/CD 파이프라인과 관련된 가정을 하는데 중점을 둠

A09: Security Logging and Monitoring Failures (보안 로깅 및 모니터링 실패)

- Insufficient Logging & Monitoring(불충분한 로깅 및 모니터링) 이 Security Logging and Monitoring Failures (보안 로깅 및 모니터링 실패)로 변경

- 로깅 및 모니터링 없이는 공격활동을 인지할 수 없음.

A10: Server-Side Request Forgery (서버 측 요청 위조)

- 2021년 새롭게 등장.

- SSRF는 웹 애플리케이션이 사용자가제공한 URL의 유효성을 검사하지 않고 원격 리소스를 가져올 때마다 발생.

- 공격자는 방화벽, VPN 또는 다른 유형의 네트워크 ACL(액세스 제어 목록)에 의해 보호되는 경우에도 응용 프로그램이 조작된 요청을 예기치 않은 대상으로 보내도록 강제할 수 있음.

+ Recent posts