WIKI Security의 전문 인력들은 다양한 보안 프로젝트를 수행하며, 기존 도구만으로는 해결하기 어려운 실무적 요구사항을 반복적으로 경험함에 따라 현장에서 직접 필요한 기능을 정의하고, 경량 프로그램과 실무 중심 보안 가이드를 자체적으로 개발하고 있습니다.
이 메뉴에서는 실제 프로젝트 환경에서 검증된 툴킷과 가이드를 공유하고 있으며 이를 통해 WIKI Security는 현장 경험을 조직의 기술 자산으로 체계화하고, 보다 현실적인 보안 대응을 지원하고 있습니다.
(*) 출처 : 한국인터넷진흥원(KISA) (*) 자료: 한국인터넷진흥원(KISA) 웹 어플리케이션 취약점 진단.제거 가이드입니다. 홈페이지_취약점_진단_제거_가이드.pdf …
1절. 입력 데이터 검증 및 표현 사용자의 입력을 검증없이 그대로 받아들여 사용하면 많은 보안위협에 노출되게 된다. 해당 보안취약점을 예방하기 위해서는 유효한 입력데이터만 허용할 수 있도록 코딩하는 것이 좋으며, 부득이한 경우 …
1절. Cross-Document Messaging 가. 정의 HTML5는 postMessage라는 새로운 API를 제공한다. 이는 한 도메인에서 다른 도메인으로 데이터를 전달하는 스크립트에 대한 프레임 워크이다. 이런 데이터 요청이 해킹이 아닌지 명확하게 하기 위해서, postMessage는 …
1절. Ajax 취약점 및 대응방안 Ajax(Asynchronous Java Script and XML)는 비동기식 JavaScript를 사용하는 웹 애플리케이션 개발 방식으로서 Http 프로토콜을 통해 XML 데이터를 웹 서버와 교환한다. 따라서 웹 페이지는 동적으로 업데이트 …
1절. 보안 대책 1. 스크립트 삽입 취약점 가. 취약점 상세 내용 및 보안 대책 Javascript, Vbscript 등 PC의 웹브라우저에서 실행되는 클라이언트 사이트 스크립트를 다른 사용자의 웹브라우저에서 실행하도록 함으로서 웹 브라우저를 …
SQL Injection 취약점 취약점 상세 내용 및 보안 대책 웹 사이트는 DBMS와 연동하므로 웹 어플리케이션에서 사용자의 입력값을 통하여 데이타 트랜잭션이 발생함. 만일 사용자 입력값에 대한 유효성 검증이 누락될 경우, 악의적인 …
1절. 입력 데이터 검증 및 표현 1. 크로스 사이트 스크립트 공격 취약점(XSS) 가. 정의 외부에서 입력되는 검증되지 않은 입력이 동적 웹페이지의 생성에 사용될 경우, 전송된 동적 웹페이지를 열람하는 접속자의 권한으로 …
1. 계정관리 Default 계정 삭제(중요도 : 상) 시스템 Default 계정 및 사용하지 않는 계정의 삭제 기준 가. Default 계정(lp,uucp,nuucp) 삭제나. 퇴직, 전환배치, 휴직, 계약 해지자 계정 삭제 ※ 가, 나 …
1. 계정관리 1.1. Default 계정(중요도 : 중) 개요 시스템에서 이용하지 않는 Default 계정 및 의심스러운 특이한 계정의 존재 유무를 검사하여 삭제합니다. 대부분의 시스템에서 사용하지 않는 것이 확실한 아래의 계정들과 의심스러운 …
