정보보호 한잔

※ 일반적인 점검 방법이며, 양호/취약 여부는 사이트에 따라 다르게 적용,논의될 수 있습니다.항목서버 사이드 요청 위조 (SSRF)대상모든 대상항목 설명o 사용자의 입력 값을 이용하여 서버가 요청을 보내거나 외부의 리소스를 이용할 때 발생하며 사용자가 접근 할 수 없는 영역에 무단 접근이나 데이터 엑세스가 발생 할 수 있습니다.점검 기준o 외부에서 접근 가능한 서버에서 전송하는 요청 메시지 파라미터(IP,URL 등)값을 변조하여, 공격자가 직접 접근할 수 없는 네트워크 대역(내부망 등)에 위치한 서버에서 변조된 요청 메시지에 대해 응답값이 반환되는지 여부를 점검점검 방법1. SSRF 파라미터 위변조1) WEB서버가 DB 등 타 서버로 요청하는데 이용되는 파라미터 확인2) 파라미터에 공격구문 삽입  A) ..

※ 일반적인 점검 방법이며, 양호/취약 여부는 사이트에 따라 다르게 적용,논의될 수 있습니다.항목[전자금융] 거래정보 무결성 검증대상결제 기능 대상 (전자결제 대상)항목 설명o 전자금융거래 시 이용되는 거래정보의 무결성 검증 여부를 점검점검 기준- 예비거래에 이용된 거래정보와 본거래에서 이용된 거래정보의 일치 여부 점검- 본 거래정보와 최종 승인된 거래정보의 일치 여부 점검- 전자서명기술 이용 시 타인인증서로 서명 후 거래 가능 여부 점검- 전자서명기술 이용 시 전자서명 검증절차 오류 여부 점검- 전자서명기술 이용 시 전자서명 무결성 검증 오류 여부 점검- 전자서명기술 이용 시 매번 동일한 전자서명값 이용 여부 점검 등- 계좌 인증 수행 시 이체 금액을 변조하여 전송 가능 여부를 점검- 유료 인증수단(범..

※ 일반적인 점검 방법이며, 양호/취약 여부는 사이트에 따라 다르게 적용,논의될 수 있습니다.항목[전자금융] 거래정보 재사용대상결제 기능 대상 (전자결제 대상)항목 설명o 전자금융거래 시 이용되는 거래정보의 재사용 가능 여부를 점검점검 기준- 기 사용된 거래정보(이체 전문, 결제 전문 등)를 재전송하여 정상거래 가능 여부를 점검 등점검 방법1. 거래정보 재사용 확인 절차1) 결제 및 거래 진행2) 거래 인증에 사용되는 해시값을 확인3) 사용된 해시값을 프록시 도구를 통해 재삽입4) 사용된 해시값으로 거래가 정상 처리되는지 확인 항목[전자금융] 거래시 소유주 확인 여부대상결제 기능 대상 (전자결제 대상)항목 설명o 전자금융거래 시 이용자의 이용 권한 검증 여부를 점검점검 기준- 계좌(카드,계약)정보 조회 ..

※ 일반적인 점검 방법이며, 양호/취약 여부는 사이트에 따라 다르게 적용,논의될 수 있습니다.항목[전자금융] 이용자 입력정보 보호대상결제 기능 대상 (전자결제 대상)항목 설명o 이용자 거래입력 수단(手段)을 보호하기 위한 금융회사 대응수단 및 적용범위 등을 점검점검 기준- 이용자 거래정보 입력보호 범위가 금융회사가 정한 범위와 달리 적용되어 있거나 또는 일관성 확인- 이용자 거래정보 입력보호에 대응하기 위한 절차 또는 방법 존재 여부 점검 등점검 방법1. 이용자 입력정보 보호 확인1) 결제 기능 접근 악성파일 업로드2) 결제 진행시 키패드, 보안프로그램 등의 보호 수단이 있는지 확인 항목악성파일 업로드대상업로드 기능 대상항목 설명o 웹쉘 등과 같은 악성파일이 업로드 될 경우 시스템 명령어 실행 및 인접 ..

※ 일반적인 점검 방법이며, 양호/취약 여부는 사이트에 따라 다르게 적용,논의될 수 있습니다.항목SQL Injection대상모든 대상항목 설명o 사용자가 간섭 가능한 매개변수(URL 파라미터, XML 등)에 의해 SQL 질의문이 완성되는 점을 이용하여, 해당 매개변수 변조를 통해 비정상 질의 가능 여부를 점검점검 기준- URL 파라미터 또는 XML 등 입력하는 부분에 SQL 구문 입력 후 서버에서 응답한 값에 대한 위험성 점검- SQL문으로 해석될 수 있는 값(글번호, 검색 내용 등)을 입력하여 데이터베이스내에 저장된 정보 열람 및 시스템 명령 실행가능 여부 점검- 조작된 XPath 쿼리를 보내어 비정상적인 질의 가능 여부 점검 등점검 방법※ SQL Injection의 경우 공격 방식이 매우 다양하여 특..

※ 일반적인 점검 방법이며, 양호/취약 여부는 사이트에 따라 다르게 적용,논의될 수 있습니다.항목고정된 인증정보 이용대상권한 기능 대상항목 설명o SMS 등 이용자 인증을 위해 생성되는 값에 대해 인증정보 탈취 방지를 위해 가변적인 데이터 사용 여부를 점검점검 기준- SMS, ARS 등 이용자 인증 시 매번 동일한 인증코드 생성 여부 점검 등점검 방법1. 세션(쿠키) 인증값 유추1) 로그인 진행2) 발급받은 세션 쿠키 값 분석  A) 평문 여부 확인  B) 인코딩(ex. Base64 등) 값, 암호화 값의 복호화 시도3) 타 계정 및 권한으로 위변조 시도4) 위변조한 계정 및 권한으로 동작 확인 2. SMS, ARS 인증값 유추1) 인증 진행2) 발급받은 인증번호 확인  A) 인증번호 발급시 동일한 인증..