[Secure]_03_[SSI Injection, 디렉터리 인덱싱, 정보 누출, 평문 노출, 마스킹 정보 소스에 평문 노출, 인코딩, 암호화, 통합 에러 설정, robot.txt, User-agent : * , 크로스 사이트 스크립팅]
SSI Injection 점검 내용 : 웹페이지 내 SSI injection 공격 가능성 점검. ** SSI(Server Side Includes): CGI 프로그램을 작성하거나 혹은 서버사이드 스크립트를 사용하는 언어로 웹 서버가 사용자에게 페이지를 제공하기 전에 구문을 해석하도록 지시하는 역할을 함. --> 운영체제 명령어와 비슷하다.(ls , ls -al, ...) --> 운영체제 명령어를 웹에서 인식하는 것 자체가 큰 문제이기 때문에 거의 막아져 있다. --> 발생 X ** 인젝션 취약점 : 내 화면이 아닌 서버에 문제를 일으키는 것 -> 인젝션 취약점은 점점 줄어든다. -> 이유 : 패턴이 단순하다.(웹 방화벽에서 막을 수 도 있음.) -> 그러나, 뚫리면 피해가 크기 때문에 중요하다. ** 지..
2021. 9. 11.