YSHUSH

˙인증관리란? ID와 패스워드를 이용한 지식기반의 인증관리에서 고려해야 할 인증관리 정책 패스워드 관리 정책 패스워드 설정, 변경, 재설정, 전송, 저장, 사용기간 등 안전한 패스워드 관리 정책이 수립되어야 한다. 인증시도 관리 정책 인증시도 횟수 제한, 안전한 로그아웃 기능, 다중 로그인 제한과 같은 기능을 구현하여 안전하게 인증 절차가 처리되어야 한다. ˙패스워드 설정 패스워드 설정 시 문자열 정책이 안전하게 적용되어 있는지 점검패스워드 설정 시 안전한 문자열이 사용되도록 입력 문자열이 제한되는지 확인하며, 이러한 제한이 서버와 클라이언트에서 동일하게 적용되는지 진단한다. ▶자바 스크립트로 사용자 측에서 패스워드를 입력받을 때 지정된 패턴의 문자열을 입력받도록 입력값 제한한다. //비밀번호 유효성 확..

˙쿠키란? 쿠키는 웹서버와 브라우저 간에 주고받는 문자열로, 클라이언트의 상태를 관리하지 않는 HTTP 프로토콜을 사용하는 웹 애플리케이션이 클라이언트와의 연속성을 유지하기 위해 사용하는 정보이다. 서버는 응답 헤더에 Set-Cookie: 이름=값 형식으로 클라이언트에게 쿠키 값을 전달하며, 브라우저는 접속하는 서버로부터 받은 쿠키 정보를 Set-Cookie: 이름=값 형식으로 요청 헤더에 포함시켜 서버로 전달한다. ˙쿠키(Cookie) 종류 일반적으로 사용되는 쿠키는 세션쿠키와 영속성 쿠키가 있다. 세션쿠키(Session cookie) - 쿠키 만료일이 설정되어 있지 않음. - 브라우저의 메모리에 저장하여 사용되며, 브라우저를 닫으면 삭제된다. 영속성 쿠키 - 쿠키 만료일이 설정되어 있음. - 만료일 ..

˙ SQL 인젝션이란? 웹 애플리케이션에서 외부 입력 데이터를 삽입하며 DB쿼리문을 생성하고 실행하는 경우, 조작된 입력값으로 데이터베이스로전달되는 쿼리(CRUD)를 변조하여 데이터베이스에 불법적인 데이터 열람, 삭제, 시스템 명령 수행 등이 발생하는 취약점이다. ˙ SQL 인젝션 발생원인 애플리케이션에서 SQL 쿼리문의 일부로 사용되는 사용자의 입력값에 대한 적절한 검증 작업을 수행하지 않고, 동적으로 쿼리를 생성해서 사용하는 경우 발생한다. SQL 인젝션 취약한 사이트의 경우 이미 존재하는 admin 아이디에 대해 쿼리문을 조작하여 로그인 할 수 있다. 아이디: admin'# 비밀번호: # 만을 가지고 로그인 될 수 있다. 이 문제를 해결하기 위해 mysql이나 오라클의 경우 '# 를 붙여 passw..