정보보호 한잔

※ 일반적인 점검 방법이며, 양호/취약 여부는 사이트에 따라 다르게 적용,논의될 수 있습니다.항목서버 사이드 요청 위조 (SSRF)대상모든 대상항목 설명o 사용자의 입력 값을 이용하여 서버가 요청을 보내거나 외부의 리소스를 이용할 때 발생하며 사용자가 접근 할 수 없는 영역에 무단 접근이나 데이터 엑세스가 발생 할 수 있습니다.점검 기준o 외부에서 접근 가능한 서버에서 전송하는 요청 메시지 파라미터(IP,URL 등)값을 변조하여, 공격자가 직접 접근할 수 없는 네트워크 대역(내부망 등)에 위치한 서버에서 변조된 요청 메시지에 대해 응답값이 반환되는지 여부를 점검점검 방법1. SSRF 파라미터 위변조1) WEB서버가 DB 등 타 서버로 요청하는데 이용되는 파라미터 확인2) 파라미터에 공격구문 삽입  A) ..

※ 일반적인 점검 방법이며, 양호/취약 여부는 사이트에 따라 다르게 적용,논의될 수 있습니다.항목[전자금융] 거래정보 무결성 검증대상결제 기능 대상 (전자결제 대상)항목 설명o 전자금융거래 시 이용되는 거래정보의 무결성 검증 여부를 점검점검 기준- 예비거래에 이용된 거래정보와 본거래에서 이용된 거래정보의 일치 여부 점검- 본 거래정보와 최종 승인된 거래정보의 일치 여부 점검- 전자서명기술 이용 시 타인인증서로 서명 후 거래 가능 여부 점검- 전자서명기술 이용 시 전자서명 검증절차 오류 여부 점검- 전자서명기술 이용 시 전자서명 무결성 검증 오류 여부 점검- 전자서명기술 이용 시 매번 동일한 전자서명값 이용 여부 점검 등- 계좌 인증 수행 시 이체 금액을 변조하여 전송 가능 여부를 점검- 유료 인증수단(범..

※ 일반적인 점검 방법이며, 양호/취약 여부는 사이트에 따라 다르게 적용,논의될 수 있습니다.항목[전자금융] 거래정보 재사용대상결제 기능 대상 (전자결제 대상)항목 설명o 전자금융거래 시 이용되는 거래정보의 재사용 가능 여부를 점검점검 기준- 기 사용된 거래정보(이체 전문, 결제 전문 등)를 재전송하여 정상거래 가능 여부를 점검 등점검 방법1. 거래정보 재사용 확인 절차1) 결제 및 거래 진행2) 거래 인증에 사용되는 해시값을 확인3) 사용된 해시값을 프록시 도구를 통해 재삽입4) 사용된 해시값으로 거래가 정상 처리되는지 확인 항목[전자금융] 거래시 소유주 확인 여부대상결제 기능 대상 (전자결제 대상)항목 설명o 전자금융거래 시 이용자의 이용 권한 검증 여부를 점검점검 기준- 계좌(카드,계약)정보 조회 ..

※ 일반적인 점검 방법이며, 양호/취약 여부는 사이트에 따라 다르게 적용,논의될 수 있습니다.항목SQL Injection대상모든 대상항목 설명o 사용자가 간섭 가능한 매개변수(URL 파라미터, XML 등)에 의해 SQL 질의문이 완성되는 점을 이용하여, 해당 매개변수 변조를 통해 비정상 질의 가능 여부를 점검점검 기준- URL 파라미터 또는 XML 등 입력하는 부분에 SQL 구문 입력 후 서버에서 응답한 값에 대한 위험성 점검- SQL문으로 해석될 수 있는 값(글번호, 검색 내용 등)을 입력하여 데이터베이스내에 저장된 정보 열람 및 시스템 명령 실행가능 여부 점검- 조작된 XPath 쿼리를 보내어 비정상적인 질의 가능 여부 점검 등점검 방법※ SQL Injection의 경우 공격 방식이 매우 다양하여 특..

No구분전자금융 기반시설 항목 구분점검 분류대상1취약한 접근 제어: 권한/인가[전자금융] 거래 인증수단 검증 오류인증/인가/로직 우회결제 기능 대상(전자금융 대상)2부적절한 이용자 인가 여부인증/인가/로직 우회권한 기능 대상3쿠키변조암호화(토큰, 세션)모든 대상4암호화 실패고정된 인증정보 이용암호화(토큰, 세션)권한 기능 대상5서버 인증서 무결성 검증HTTPS 확인(인증서, NMAP)SSL/TLS 적용 대상6취약한 HTTPS 프로토콜 이용HTTPS 확인(인증서, NMAP)SSL/TLS 적용 대상7취약한 HTTPS 암호 알고리즘 이용HTTPS 확인(인증서, NMAP)SSL/TLS 적용 대상8취약한 HTTPS 컴포넌트 사용HTTPS 확인(인증서, NMAP)SSL/TLS 적용 대상9취약한 HTTPS 재협상 허..

No구분전자금융 기반시설 항목 구분점검 분류대상1취약한 접근 제어: 권한/인가[전자금융] 거래 인증수단 검증 오류인증/인가/로직 우회결제 기능 대상(전자금융 대상)2[전자금융] 사전에 정한 조회기간 이상으로 거래내역 조회가능 여부인증/인가/로직 우회결제 기능 대상(전자금융 대상)3부적절한 이용자 인가 여부인증/인가/로직 우회권한 기능 대상4쿠키변조암호화(토큰, 세션)모든 대상5암호화 실패고정된 인증정보 이용암호화(토큰, 세션)권한 기능 대상6데이터 평문전송암호화(토큰, 세션)모든 대상7서버 인증서 무결성 검증HTTPS 확인(인증서, NMAP)SSL/TLS 적용 대상8취약한 HTTPS 프로토콜 이용HTTPS 확인(인증서, NMAP)SSL/TLS 적용 대상9취약한 HTTPS 암호 알고리즘 이용HTTPS 확인..