웹 보안 취약점과 대응 방안 (4)

🛡️ 웹 보안 취약점과 대응 방안 (4)

이번 포스팅에서는 웹 해킹에서 가장 빈번하게 발생하는 스크립트 및 쿼리 기반의 보안 취약점을 정리합니다.

---

13. Cross Site Scripting (XSS)

▸ 개념

• 웹 페이지에 악성 스크립트가 삽입되어 사용자의 브라우저에서 실행되는 취약점
• 공격자는 사용자의 세션 탈취, 키로깅, 피싱 사이트 유도 등을 수행할 수 있음

▸ 주요 유형

1. Reflected XSS: 사용자 입력이 바로 반영되어 브라우저에서 실행됨
2. Stored XSS: 악성 스크립트가 서버에 저장되어 여러 사용자에게 실행됨

▸ 대응 방안

• 사용자 입력 입·출력 시 이스케이프 처리
• XSS 필터링 라이브러리 또는 프레임워크 사용 (Anti-XSS)
• 웹 방화벽(WAF) 도입
• 브라우저 보안 설정 강화

---

14. SQL Injection

▸ 개념

• 사용자 입력값을 통해 SQL 쿼리 구조를 조작하여 DB에서 민감한 정보를 탈취하는 공격

▸ 주요 유형

1. Classic SQLi: 단순 입력 조작으로 DB 쿼리 삽입
2. Union-based SQLi: UNION 구문을 활용하여 다른 테이블의 데이터 노출

▸ 대응 방안

• 입력값 화이트리스트 검증 필수
• Prepared Statement 사용 (예: ? 바인딩 방식)
• 웹 방화벽 도입 (소프트웨어형, 하드웨어형, 프록시형 등)
• DB 계정 권한 최소화

---

15. 권한 인증 취약점

▸ 개념

• 쿠키 또는 토큰 값을 변조하거나 세션을 탈취하여 다른 사용자의 권한을 획득하는 공격

▸ 대응 방안

• 세션 기반 인증 방식을 우선 사용
• 쿠키 사용 시 HttpOnly, Secure, SameSite 속성 적용
• 토큰 암호화 및 만료 시간 설정

---

16. 에러 처리 취약점

▸ 개념

• 서버에서 예외 처리 미흡으로 인해 시스템 구조, 경로, 쿼리문 정보 등이 에러 메시지를 통해 노출되는 취약점

▸ 대응 방안

• 모든 에러에 대해 사용자 정의 에러 페이지 설정
• 에러 로그는 내부 로깅 시스템에만 기록하고 클라이언트에게는 일반적인 메시지만 제공
• 개발환경과 운영환경을 분리하여 디버깅 정보 노출 방지