입력 데이터로 인해 발생하는 문제들을 예방하기 위해 구현 단계에서 검증해야 하는 보안 점검 항목들이다.
XSS (Cross Site Script)
검증되지 않은 외부 입력 데이터가 포함된 웹페이지를 열람함으로써 웹페이지에 포함된 부적절한 스크립트가 실행되는 공격
사이트 간 요청 위조 (CSRF - Cross Site Request Forgery)
사용자가 자신의 의지와는 무관하게, 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격
SQL 삽입 (SQL Injection)
악의적인 SQL 구문을 삽입, 실행시켜서 데이터베이스의 접근을 통해 정보를 탈취하거나 조작 등의 행위를 하는 공격기법
Stored XSS
방문자들이 악성 스크립트가 포함된 페이지를 읽어 봄과 동시에 악성 스크립트가 브라우저에서 실행되면서 감염되는 기법 → 악성 스크립트 페이지 열람
Reflected XSS
공격용 악성 URL을 생성한 후 이메일로 사용자에게 전송하면 사용자가 URL 클릭 시 즉시 공격 스크립트가 피해자로 반사되어 접속 사이트에 민감정보를 공격자에게 전송하는 기법
→ 이메일을 통한 악성 URL 클릭 시 민감정보 유출
DOM XSS
공격자는 DOM 기반 XSS 취약점이 있는 브라우저를 대상으로 조작된 URL을 이메일을 통해 발송하고 피해자가 URL 클릭 시 공격 피해를 당하는 기법
Form SQL Injection
HTML Form 기반 인증을 담당하는 애플리케이션의 취약점이 있는 경우 사용자 인증을 위한 쿼리 문의 조건을 임의로 조작하여 인증을 우회하는 기법
Union SQL Injection
쿼리의 UNION 연산자를 이용하여 한 쿼리의 결과를 다른 쿼리의 결과에 결합하여 공격하는 기법
Stored Procedure SQL Injection
저장 프로시저를 이용하여 공격하는 기법
Mass SQL Injection
기존 SQL Injection의 확장된 개념으로,
한 번의 공격으로 대량의 DB 값이 변조되어 홈페이지에 치명적인 영향을 미치는 공격기법
Error-Based SQL Injection
DB 쿼리에 대한 에러값을 기반으로 한 단계씩 점진적으로 DB 정보를 획득할 수 있는 공격기법