MACE's life blog

XSS는 2000년대부터 계속 이슈가 되는 취약점으로, 관리자가 아닌 제3의 사용자가 악성 스크립트를 사이트에 탑재할 수 있다. 무엇보다 사이트가 본래의 목적에 벗어나 악성코드(스크립트)의 숙주가 될 수 있으므로, 웹을 포함한 소프트웨어 개발시 항상 XSS(크로스 사이트 스크립팅, cross-site scripting)를 체크해야 한다. 그리고 기존에는 OWASP ZAP 등을 활용하였으나, OWASP Xenotix XSS Exploit Framework라는 도구를 알게되어 소개한다. 이 툴은 XSS에 특화된 다양한 기능을 제공하며, GET/POST 방식을 모두 체크할 수 있다. 당연히 만능은 아니겠지만, 짧은 개발(구현)기간 안에서 최대한의 취약점을 배제할 수 있도록 할때 유용할 것이다. 현재 페이로드는..

OWASP Top 10 모음.

취약점과 관련하여 OWASP를 보다가 Zed Attack Proxy Project를 확인했다. ZAP.인터페이스가 복잡하긴 하지만 공개용 웹취약점 점검툴로는 손색이 없다고 생각된다. 특히 Injection을 위한 Fuzz 기능은 매우 유용하게 사용할 수 있을 듯! The Zed Attack Proxy (ZAP) is an easy to use integrated penetration testing tool for finding vulnerabilities in web applications.It is designed to be used by people with a wide range of security experience and as such is ideal for developers and func..

File Download : http://goo.gl/zloQv (공공기관 홈페이지 개인정보 노출방지 가이드라인) [목차] Ⅰ. 개요 1. 개인정보 노출이란 무엇인가요? 2. 개인정보 노출이 왜 문제가 되나요? 3. 침해사고 위험이 높은 개인정보는 어떤 것인가요? 4. 개인정보 노출을 방지하기 위해서는 어떻게 관리해야 하나요? Ⅱ. 개인정보 노출유형 및 조치방법 1. 업무담당자 부주의 2. 민원인 부주의 3. 홈페이지 설계오류 4. 외부 검색엔진 노출 유형 Ⅲ. 개인정보 노출 방지대책 1. 개인정보 노출방지를 위한 종합 대책 2. 홈페이지 관리자 유의사항 Tip-1 구글에 노출된 개인정보 삭제 방법 Tip-2 로봇 배제 표준 적용 방법 Tip-3 홈페이지 게시판글 등록시 주민번호 등 개인정보 필터링 적용..