MACE's life blog

XSS는 2000년대부터 계속 이슈가 되는 취약점으로, 관리자가 아닌 제3의 사용자가 악성 스크립트를 사이트에 탑재할 수 있다. 무엇보다 사이트가 본래의 목적에 벗어나 악성코드(스크립트)의 숙주가 될 수 있으므로, 웹을 포함한 소프트웨어 개발시 항상 XSS(크로스 사이트 스크립팅, cross-site scripting)를 체크해야 한다. 그리고 기존에는 OWASP ZAP 등을 활용하였으나, OWASP Xenotix XSS Exploit Framework라는 도구를 알게되어 소개한다. 이 툴은 XSS에 특화된 다양한 기능을 제공하며, GET/POST 방식을 모두 체크할 수 있다. 당연히 만능은 아니겠지만, 짧은 개발(구현)기간 안에서 최대한의 취약점을 배제할 수 있도록 할때 유용할 것이다. 현재 페이로드는..

OWASP Top 10 모음.

취약점과 관련하여 OWASP를 보다가 Zed Attack Proxy Project를 확인했다. ZAP.인터페이스가 복잡하긴 하지만 공개용 웹취약점 점검툴로는 손색이 없다고 생각된다. 특히 Injection을 위한 Fuzz 기능은 매우 유용하게 사용할 수 있을 듯! The Zed Attack Proxy (ZAP) is an easy to use integrated penetration testing tool for finding vulnerabilities in web applications.It is designed to be used by people with a wide range of security experience and as such is ideal for developers and func..

문서 버전: 1.0.2 날짜: 2011년 6월 29일 프로젝트 코디네이터: Bob Martin (MITRE), Mason Brown (SANS), Alan Paller (SANS), Dennis Kirby (SANS) 문서 편집자: Steve Christey (MITRE) 문서 번역자: SANS 코리아(sans@sans.or.kr) http://www.itlkorea.kr [Contents] ● 상위 25대 오류 목록 사용 안내 ● 상위 25대 오류 요약 목록 ● 상위 25대 오류 분류유형 ● 상위 25대 오류 목록의 구성 ● CWE에 대한 상세 설명 ● 주요 완화 방법 (Monster Mitigations) ● 부록 A: 선정 기준 및 추가 정보란 ● 부록 B: 2011년도 상위 25대 오류 목록의 바..