OWASP 편집하기
최신판 | 당신의 편집 | ||
14번째 줄: | 14번째 줄: | ||
[[파일:위험평가방법론.png|600픽셀|썸네일|'''위험 평가표''']] | [[파일:위험평가방법론.png|600픽셀|썸네일|'''위험 평가표''']] | ||
− | ==== | + | ==== 인젝션 ==== |
인젝션(Injection)은 [[에스큐엘]](SQL), [[운영체제]](OS), [[XML]] 외부 엔티티(XXE), 경량 디렉터리 액세스 프로토콜(LDAP) 인젝션 취약점은 신뢰할 수 없는 데이터가 명령어나 [[쿼리]](Query)문의 일부분이 인터프리터로(interpreter) 보내질때 발생한다. 공격자의 악의적인 데이터는 예상하지 못하는 명령을 실행하거나 적절한 권한 없이 [[데이터]]에 접근하도록 인터프리터를 속인다. 공격의 발생원인은 사용자 제공 데이터가 유효하지 않거나, 필터링 되어 지지 않거나, 애플리케이션에 의해 정제되지 않는다. 상황인식기반 필터링 없이 동적 쿼리나 매개 변수화 되지 않은 호출이 인터프리터에서 사용되며, 악의적인 데이터가 객체 관계형 매핑(ORM) 검색매개변수 내에서 사용되어 추가로 민감한 정보를 추출한다. 악의적인 데이터가 직접적으로 동적 쿼리안에 포함된 구조적 데이터와 악의적 데이터를 포함한 명령어, 일반명령어, 에스큐엘, 저장 프로시저에 사용되며 연결한다.<ref name="OWASP10"> Architecture & IT Tech, 〈[https://xbb123.tistory.com/160 (인터넷 보안)OWASP TOP10 에대해서 조사 및 분석]〉, 《티스토리》, 2018-12-23 </ref> | 인젝션(Injection)은 [[에스큐엘]](SQL), [[운영체제]](OS), [[XML]] 외부 엔티티(XXE), 경량 디렉터리 액세스 프로토콜(LDAP) 인젝션 취약점은 신뢰할 수 없는 데이터가 명령어나 [[쿼리]](Query)문의 일부분이 인터프리터로(interpreter) 보내질때 발생한다. 공격자의 악의적인 데이터는 예상하지 못하는 명령을 실행하거나 적절한 권한 없이 [[데이터]]에 접근하도록 인터프리터를 속인다. 공격의 발생원인은 사용자 제공 데이터가 유효하지 않거나, 필터링 되어 지지 않거나, 애플리케이션에 의해 정제되지 않는다. 상황인식기반 필터링 없이 동적 쿼리나 매개 변수화 되지 않은 호출이 인터프리터에서 사용되며, 악의적인 데이터가 객체 관계형 매핑(ORM) 검색매개변수 내에서 사용되어 추가로 민감한 정보를 추출한다. 악의적인 데이터가 직접적으로 동적 쿼리안에 포함된 구조적 데이터와 악의적 데이터를 포함한 명령어, 일반명령어, 에스큐엘, 저장 프로시저에 사용되며 연결한다.<ref name="OWASP10"> Architecture & IT Tech, 〈[https://xbb123.tistory.com/160 (인터넷 보안)OWASP TOP10 에대해서 조사 및 분석]〉, 《티스토리》, 2018-12-23 </ref> | ||