성덕이의 개발공간

XXE 공격이란?XML 문서의 외부 엔티티를 이용해 서버에서 민감함 파일을 읽거나 서버에서 명령을 실행하는 XML 파싱 관련 보안 취약점XML 파싱 관련 성공시 내부 파일 시스템 접근이나 원격 서버와 통신하도록 할 수 있음 AWS WAF에서 XXE 방어 정책 만들기1) AWS Console에서 WAF 접속2) 왼측 Web ACLs -> 만든 ACL 선택3) Rules -> Add rules -> Add my own rules and rule groups4) Rule builder -> 이름 적고 -> Regular rule"""Statement 1"""5) If a request matches the statement5-1) Inspect = URI path5-2) Match type = Starts w..

Command Injection 이란?공격자가 어플의 취약점을 악용하여 시스템 명령을 임의로 실행하는 공격서버 운영체제 명령을 통해 권한을 상승하거나 민감한 정보에 접근 가능 AWS WAF에서 Command Injection 공격 방어 정책 만들기1) AWS Console에서 WAF 접속2) 왼측 Web ACLs -> 만든 ACL 선택3) Rules -> Add rules -> Add my own rules and rule groups4) Rule builder -> 이름 적고 -> Regular rule"""Statement 1"""5) if a request matches all the statement (AND)5-1) Inspect = URL path5-2) Match type = Starts w..

Stored XSS 공격이란?악성 스크립트가 웹 애플리케이션의 DB에 저장되며, 이를 읽는 사용자의 브라우저에서 실행되는 공격공격자가 삽입한 악성 스크립트가 서버에 저장되기 때문에 여러 사용자가 피해를 입을 수 있음주로 댓글, 프로필, 게시글 작성 등 해당 저장되는 기능을 악용 AWS WAF Stored XSS 방어 정책 설정1) AWS Console -> WAF -> WebACLs -> 만든 ACL 선택2) Rules -> Add rules -> Add my own rules and rule gorups3) Rule bulider -> 이름 작성 -> Regular rule4) matches the statement -> Body -> Contains XSS injection attacks4-1) Co..

Cross Site Scripting (XSS) 공격이란?악성 스크립트를 사용자 브라우저에서 실행시키는 공격 기법공격자는 사용자가 웹사이트를 방문할 때 브라우저에서 악성 코드를 실행하게 하여, 쿠키, 세션 토큰, 민감한 정보를 탈취하거나 사용자 권한으로 악의적인 작업을 수행 AWS WAF 해당 방어 설정 방법1) AWS Console에서 WAF 접속2) 왼측 Web ACLs -> 만든 ACL 선택3) Rules -> Add rules -> Add my own rules and rule groups4) Rulte builder -> 이름 적고 -> Regular rule5) if a request matches the statement5-1) Query string -> Contains XSS inject..