Install Angular npm이 설치되어 있어야 한다. npm install -g @angular/cli ng new [프로젝트 명] 단일 페이지 웹 호스팅 제작을 목적으로 하는 경우 Would you like to add Angular routing 질문 No 어떤 스타일 시트 사용할 것인지 선택 프로젝트를 생성한 경로로 이동한 후 ng serve 명령어를 통해 서버를 시작할 수 있다. 서버 시작 후 localhost:4200 주소로 접근하면 확인할 수 있다. 서비스 추가 https://angular.io/cli/generate#service-command Angular angular.io angular에서 서비스는 코드의 재사용성을 높이고, 모듈 간 결합도를 낮춰준다.
불충분한 인가 중요 기능 또는 데이터에 접근 시 사용자 권한에 따른 접근 통제를 두지 않은 취약점입니다. 접근 권한에 대한 인증 프로세스 및 올바른 접근 통제 로직이 구현되지 않아 다른 사용자의 민감한 정보나 인가되지 않은 페이지에 접근할 수 있습니다. 1. 공격 실습 No. 실습 위치 비고 1 http://localhost/freeboard/index 게시판 목록 기능 2. 게시판 php 코드 My Website Home Profile Logout 자유게시판 버그및건의 자유게시판
불충분한 인증 불충분한 인가 취약점은 중요 정보를 다루는 페이지에 대한 인증 절차가 미흡할 경우 발생하는 취약점입니다. 인증 기능(로그인, 중요 페이지에 대한 추가 인증)은 구형하였으나 추측 가능한 패스워드, 취약한 인증 프로세스로 구현되어 우회하거나 무력화하여 접근할 수 있습니다. 1. 공격 실습 No. 실습 위치 비고 1 http://localhost/profile_update 회원정보 수정 기능 2. php 코드 My Website Home Profile Logout 자유게시판 버그및건의 내 정보
자동화공격 자동화 공격이란 웹 애플리케이션의 정해진 프로세스에 자동화된 공격을 수행함으로써 자동으로 수많은 프로세스가 진행되는 취약점입니다. 이는 DoS(Denial of Service), 무차별 대입 기법(Brute-Forcing), 데이터베이스 과부하와 같은 피해를 일으킬 수 있습니다. 1. 공격 원리 자동화 공격은 다량의 요청이 시도될 때 검증과 적절한 대안 방안을 구축하지 않았기 때문에 발생하는 취약점입니다. 자동화 공격을 방지하기 위해서는 데이터 등록 시 일회성이 될 수 있는 별도의 토큰 사용, captcha 사용, IDS/IPS에서의 탐지 규칙 추가 등이 있습니다. 2. php 코드 Login Login Register 계정정보를 입력해주세요 3. 공격 실습 No. 실습 위치 비고 1 http..
CSRF CSRF 취약점은 정상적인 요청과 조작된 요청을 서버가 구분하지 못할 경우 발생하는 취약점으로, 애플리케이션을 이용하는 사용자에게 조작된 요청을 웹 애플리케이션에 전송하도록 유도하여 피해를 발생시키는 취약점입니다. 공격당한 사용자의 권한을 그대로 사용하므로 사용자의 권한 수준에 따라 그 피해 범위가 달라질 수 있으며, XSS 취약점과 무관하게 공격이 가능하나 XSS 취약점과 연계 시 공격 범위가 증가합니다. 1. 공격 원리 CSRF는 사용자의 요청을 서버가 적절한 검증 절차 없이 처리하여 해당 사용자의 권한으로 임의의 동작을 그대로 실행시켜 발생합니다. 공격자는 조작된 요청을 하게 하는 스크립트를 삽입한 게시물을 업로드합니다. 이 게시물에 접근한 사용자는 공격자의 패킷을 응답 받게 되며 실행하게..
파일다운로드 취약점은 공격자가 파일 다운로드 기능을 이용하여 웹 사이트에 포함된 주요 파일을 다운로드 할 수 있는 취약점입니다. 이는 파일을 다운받는 기능이 포함된 페이지에서 입력되는 경로를 검증하지 않는 경우 임의의 문자나 주요 파일 명을 입력하여 웹 서버의 홈 디렉터리를 벗어나 임의의 위치에 있는 파일을 열람하거나 다운받을 수 있습니다. 1. 공격 원리 파일 다운로드 취약점은 다음의 경우에 발생합니다. No. 원인 상세 1 파일 경로와 파일명 노출 파일 다운로드 시 해당 파일의 상대경로 또는 절대경로를 사용하는 경우 다운로드 모듈이 파일의 경로나 이름을 파라미터로 사용하는 경우 2 파일 경로와 파일명 필터링 부족 ../(상위 디렉터리)를 이용한 Web Root 상위 디렉터리 접근이 가능한 경우 파라미..
[Lambda Runtime] Python 3.7 [API Gateway] REST API Method : POST Stage : Prod Lambda와 API Gateway를 연결 POST의 Request body에 전송되는 데이터를 Lambda 함수의 입력 값으로 받도록 한다. 공식 문서에 선언된 데이터 매핑 표현식을 참고할 수 있다. https://docs.aws.amazon.com/ko_kr/apigateway/latest/developerguide/request-response-data-mappings.html Amazon API Gateway API 요청 및 응답 데이터 매핑 참조 - Amazon API Gateway Amazon API Gateway API 요청 및 응답 데이터 매핑 참조 이..
파일 업로드 파일 업로드 취약점은 웹 사이트의 파일 업로드 기능을 이용하여 인가 받지 않은 파일을 서버에 임의로 업로드 하는 공격입니다. 웹 쉘 형태의 파일을 업로드 후 실행하면 서버의 자원을 장악할 수 있으며 웹 서비스를 실행하는 서버의 권한을 획득할 수 있습니다. 다른 페이지의 코드를 변조하여 클라이언트에게 악성 코드를 배포할 수 있습니다. 1. 공격 원리 파일 업로드 취약점은 아래표의 조건이 모두 만족할 때 발생하는 취약점입니다. No. 행위 발생 원인 1 악의적인 파일 업로드 파일 업로드 시 확장자 체크의 미흡, PUT 메소드 이용 2 업로드 경로 확인 업로드 디렉토리의 경로 노출 3 스크립트 실행 실행 권한 존재 파일 업로드 취약점은 다음의 과정으로 진행됩니다. 1. 파일 업로드 기능을 이용하여..
Stored XSS 공격 원리 공격자가 악성 스크립트를 취약한 서버에 게시글 형태로 등록시킨 후 사용자가 해당 게시물에 접근 시 스크립트가 실행되어 피해를 발생시키는 공격 기법이다. Stored XSS는 다음의 과정으로 이루어진다. 1. 공격자는 게시판에 Stored XSS 취약점이 있는 것을 확인합니다.2. 공격자는 사용자 쿠키 정보를 탈취하는 스크립트를 포함한 게시물을 작성합니다.3. 희생자는 해당 글 열람 시 쿠키 정보가 공격자에게 전송됩니다.4. 공격자는 희생자의 쿠키 정보를 이용해 계정을 탈취합니다. 공격 실습 No.실습 위치비고1localhost/freeboard/write게시판 게시글 추가 기능 취약 페이지 구현 제목 제목은 필수 입력 항목입니다! 본문 Browse… 파일 용량 제한은 50M..
문제 동작 중인 서비스가 정상적으로 동작하지 않았고, 서비스 로그가 정상적으로 전송되지 않음을 확인하였다. 파일 접근, 편집을 위해 쉘에서 작업을 시도했으나 Read-only file sytsem 에러가 나오면서 아무 작업도 되지 않는다. 시스템 용량 확인 결과 사용 용량이 100% 인 것을 확인할 수 있었고 OS가 시스템보호를 위해 RO 시스템으로 전환한 것 같았다. 해결 1. 파일 시스템을 RW(Read-Write) 권한으로 다시 마운트 한다. sudo mount -o remount,rw /dev 2. 재부팅 sudo reboot 3. 용량 확보 불필요한 로그파일 정리 및 파일을 삭제하여 용량을 확보한다. [용량 순 디렉터리 정렬] du -h (경로) |sort -h 해당 경로에 있는 모든 파일과 폴..