[웹 보안] SSRF 취약점Server-Side Request Forgery 1. 개요SSRF 공격은 2021년 OWASP TOP10에 새로 추가된 항목이다. 서버 측에서 위조된 HTTP요청을 발생시켜 직접적인 접근이 제한된 서버 내부 자원에 접근하여 외부로 데이터 유출 및 오동작을 유발하는 공격을 SSRF(Server-Side Request Forgery)라고 한다.공격이 발현되는 시점이 CSRF는 클라이언트 측이고, SSRF는 서버 측인 것이 차이점이다.CSRF는 웹 브라우저 하이재킹을하여 사용자로 하여금 악성 요청을 수행하도록 한다면, SSRF는 접근이 제한된 내부환경에 추가 공격이 가능하기 때문에 공격 영향도가 높다. 2. SSRF 공격 예시 정상 요청 :GET https://test.com/id..
OWASP 2021년 초안 버전입니다. 아직 초안이라서 많이 바뀔 수 있다고 합니다. 아직 한국어로 번역된것이 없어서, 오역 및 의역이 많을 수 있습니다... 2021년 Top10에서 바뀐 것! 3개의 새로운 카테고리가 생성되었고, 4개의 카테고리에서 범위가 변경되고 새로 이름이 붙었습니다. 또한 일부 카테고리는 통합되었습니다. 이번 OWASP는 업계의 의견을 반영했다고 합니다. 새로운 2021년 Top10과 2017년 Top10 사이의 관계를 매핑한 모습입니다. Mapping of the relationship between the Top 10 2017 and the new Top 10 2021 2017년 OWASP TOP10 A01: 2021-Broken Access Control 취약한 접근 통제 ..
OWASP The Open Web Application Security Project 웹 보안을 공부하게 된다면, 가장 먼저 듣는 게 OWASP일 거다. 한 통신사의 인턴으로 근무하였을 때, 웹 보안(해킹)을 공부할 때 OWASP 공부하라는 이야기를 들었던것이 기억이 난다. 그래서 OWASP 2013을 공부하고 있었는데 그 사이에 2017이 나왔던것 같다. 그래도 2013과 2017 사이에 변화한 항목은 있지만 Top10에 그대로 유지하고 있는 항목을 보면 취약하다고 알려져도 그것을 개선하는 것도 어렵고 그 항목이 공격 당하면 위험성이 매우 큰 사실을 알 수 있는 것 같다. 아래는 OWASP에 대한 정의이다. OWASP(The Open Web Application Security Project)는 오픈소..
