728x90
반응형
OWASP Top 10, 시큐어코딩, 보안설계
- OWASP TOP 10 항목의 하나이며, 소프트웨어 개발보안 가이드에도 언급되어 있는 애플리케이션 계층 공격 기법입니다.
- XSS는 이미 여러번 출제 되었고 CSRF도 언제든지 출제될 가능성이 있기 때문에 해당 개념과 방어 기법에 대해서 가져가시면 좋을 것 같습니다.
* 대응방안
가. 사이트 관리자 입장
- Double Submit : 주요 명령어 수행은 재인증 절차 거침
(예: 개인정보열람/변경, 이체거래 등)
- 해당 세션에서만 유효한 일회성 인증정보 사용
- XSS 취약점 조치 : 기본적으로 CSRF는 XSS 취약점을 응용한 기법이므로 XSS 취약점을 조치
.사용자 입력의 필터링
.특수문자를 HTML 문자로 바꾼다
.게시판에서 HTML형태의 입력을 받지 않는다
나. 사용자 입장
[대응] 동일 사이트 쿠키 값 확인해 사이트 간 요청 위조 공격 막을 수 있어
728x90
'03.Security' 카테고리의 다른 글
| 4차 산업혁명 - 드론 - 보안 (0) | 2023.11.08 |
|---|---|
| 정보보안 - 국가정보원 보안성 (0) | 2023.10.19 |
| OWASP - XSS (Crosss-Site Scripting) (0) | 2023.10.16 |
| 개인정보 - 안전성 확보조치 (0) | 2023.10.12 |
| 정보보안 - 정보보안/정보보호 인증 - ISMS-P (0) | 2023.10.12 |
