[정보처리기사 필기 요약] 취약점

* 취약점(vulnerability)

• 공격자가 시스템 정보에 대한 안정성 낮추는데 사용되는 보안 약점
• 시스템 자체 결함, 공격자가 결함에 대한 접근 용이성, 공격자가 결함에 대해 공격할 가능성

 

* SW 보안 취약점

• 보안 사고는 한 가지 이상 취약점들의 조합 통해 더욱 빈번하게 발생

분류	취약점	설명
메모리 보안 침입	버퍼 오버플로	- 메모리 다루는 데 오류 발생하여 잘못된 동작 하는 P/G 취약점 - 컴퓨터 보안과 프로그래밍에서는 프로세스가 데이터를 버퍼에 저장할 때, 프로그래머가 지정한 곳 외에 저장
	허상 포인터 (Dangling pointer)	- 컴퓨터 프로그래밍에서 적절한 타입의 유효 객체 가리키고 있지 않은 포인터로 인함
	Null Pointer 역참조	- Null로 설정된 변수 주소 값 참조 시 발생
입력 확인 오류	포맷 스티링 버그	- 포맷팅 수행하는 printf() 같은 특정한 C함수들에서 검사되지 않은 사용자 입력을 포맷 스트링 파라미터로 사용하는 공격 기법
	SQL 삽입 (SQL Injection)	- 응용 P/G 보안상 허점을 의도적으로 이용하여, 악의적인 SQL문 실행되도록 입력 값 삽입하여 DB를 비정상적으로 조작하는 공격 기법
	코드 삽입 (Code Injection)	- 유효하지 않은 데이터 실행함으로써 야기되는 SW 버그 부당한 사용
	이메일 삽입 (e-mail Injection)	- 웹 어플리케이션 메일 송신 기능에 공격자가 임의의 To 및 Subject 등 메일 헤더 부정하게 추가하는 공격 기법
	디렉토리 접근 공격	- 비공개 디렉토리 파일에 대해 부정하게 디렉토리 경로 가로질러 액세스하는 공격 기법
	웹 사이트 간 스크립팅	- 취약성 있는 웹 사이트 방문한 사용자 브라우저에서 부정한 HTML 태그나  JavaScript 동작시키는 공격 기법
	HTTP 헤더 인젝션	- 공격자가 응답 헤더 필드에 개행 문자 등 삽입함으로써 임의의 응답 헤더
	HTTP 응답 스플리팅	- 공격자가 HTTP 요청에 삽입한 인자 값이 HTTP 응답 헤더에 포함되어 사용자에게 다시 전달될 때 개행 문자 이용하여 첫 번째 응답 종료시키고 두 번째 응답에 악의적인 코드 주입하는 공격 기법
경쟁 상태	Time-of-check-to-time-of-use 버그	- 하나 자원에 대해 동시에 검사 시점과 사용 시점이 달리 생기는 보안 약점으로 인해 동기화 오류뿐만 아니라 교착상태 등 같은 문제점 발생
	심볼릭 링크 경쟁	- 심볼릭 링크 이용한 공격 기법
권한 혼동 버그	웹에서 사이트 간 요청 위조	- 특정 사용자 대상으로 하지 않고 블특정 다수 대상으로 로그인 된 사용자가 자신 의지와는 무관하게 공격자가 의도한 행위 하는 공격
	클릭 재킹	- 눈에 안보이는 투명한 버튼이나 링크 사용하여 웹페이지에 놓고 유저 클릭하면 의도치 않은 콘텐츠에 액세스 하는 공격
	FTP 바운스 공격	- FTP 프로토콜 구조 허점 이용한 공격 방법. 공격 대상 포트 스캐닝