[웹 해킹 & 시큐어 코딩] 09. 파라미터 변조 취약점

2023. 12. 9. 03:00·📗 self-study/📗 inflearn

 

 

 

🔥 웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩

 

위아래 1줄씩 띄우고 중요한 부분은 볼드 효과

 

 

 

 

📍 파라미터 변조 취약점이란?

// 정상 요청
http://www.victim.co.kr/mypage.jsp?id=hacker

// 공격 요청
http://www.victim.co.kr/mypage.jsp?id=admin

👉🏻 Parameter Tampering Vulnerability

👉🏻 공격하기가 쉽고, 공격인지 정확히 알기 어렵다는 특징이 있음

 

 

 

📍 공격 원리 분석

👉🏻 (취약한) 정상 동작: 사용자 요청 > Application에서 DB 조회 후 해당 컬럼 반환 > 사용자에게 출력

👉🏻 비정상 동작: 공격자의 변조 요청 > Application에서 DB 조회 후 해당 컬럼 반환 > 공격자의 탈취

 

👉🏻 Application에서 세션 체크를 통해 실제 사용자인지 사용자의 명의를 도용한 공격자인지 알 수 있음

 

 

 

📍 대응 방안

// 게시글 무단 삭제/무단 수정
	---> 세션
공격자 			---> 세션과 파라미터 비교 후 진행
	---> 파라미터
...
String idx = request.getPrameter("idx");
String id = request.getSession().getAttribute("id");
...
pstmt = con.prepareStatement("SELECT * FROM MEMBER WHERE IDX = ?");
pstmt.setInt(1, idx);
rs = pstmt.executeQuery();

if(rs.next()) {
	if(!rs.getString("id").equasl(id)) {
    	out.println("<script>alert('비정상 접근임'); history.back(-1);</script>");
        return;
    }
}

👉🏻 사용자 입력 값에 대한 검증 + 세션

 

// 세션을 통한 처리 소스코드 예시

...
String id = request.getSession().getAttribute("id");
...
pstmt = con.prepareStatement("SELECT * FROM MEMBER WHERE ID = ?");
pstmt.setString(1, id);
rs = pstmt.excuteQuery();

...

👉🏻 세션을 통한 처리

 

 

 

더보기
출처

웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩

https://www.inflearn.com/course/%EC%9B%B9%ED%95%B4%ED%82%B9-%EB%B3%B4%EC%95%88-%EC%8B%9C%ED%81%90%EC%96%B4%EC%BD%94%EB%94%A9

 

웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩 - 인프런 | 강의

정보보안 입문자와 웹 개발자 분들을 위한 웹 해킹 입문 강의! 본 강의를 시작으로 웹 해킹을 재미있게 시작해보세요!, 웹 개발자, 정보보안 입문자를 위한 웹 해킹 학습!언제, 어떤 위험 상황에

www.inflearn.com

 

 

저작자표시 비영리 변경금지 (새창열림)
'📗 self-study/📗 inflearn' 카테고리의 다른 글
  • [웹 해킹 & 시큐어 코딩] 11. 교육 에필로그
  • [웹 해킹 & 시큐어 코딩] 10. URL 접근 제한 미흡 취약점
  • [웹 해킹 & 시큐어 코딩] 08. 파일 업로드 취약점
  • [웹 해킹 & 시큐어 코딩] 07. 파일 다운로드 취약점
천재강쥐
천재강쥐
  • 천재강쥐
    디버거도 버거다
    천재강쥐
  • 전체
    오늘
    어제
    • Category (467)
      • 진짜 너무 궁금한데 이걸 나만 몰라...? (0)
      • 💾 Portfolio (2)
      • 🐤 CodingTest (28)
        • Java (20)
        • ᕕ(ꐦ°᷄д°᷅)ᕗ❌ (5)
      • 🚀 from error to study (142)
        • AI (1)
        • Cloud (2)
        • DB (12)
        • Front-End (16)
        • Github (14)
        • Java (39)
        • Mac (7)
        • Normal (29)
        • Server (22)
      • 📘 certificate (44)
        • 📘 리눅스마스터1급 (1)
        • 📘⭕️ 정보처리기사 (40)
        • 📘⭕️ SQLD (3)
      • 📗 self-study (234)
        • 📗 inflearn (35)
        • 📗 생활코딩 (8)
        • 📗 KH정보교육원 당산지원 (190)
      • 🎨 Scoop the others (0)
        • 📖 Peeking into other people.. (0)
        • 🇫🇷 (0)
        • 📘⭕️ 한국사능력검정시험 심화 (11)
        • 오블완 (4)
  • 인기 글

  • hELLO· Designed By정상우.v4.10.1
천재강쥐
[웹 해킹 & 시큐어 코딩] 09. 파라미터 변조 취약점
상단으로

티스토리툴바