ilsancityboy

가장 최신인 OWASP top 10 의 항목은 2021년 기준이다. (이번년도인 25년도에 안에 업데이트 되서 공개될 듯?)실습전에 먼저 순위들을 알고가자. 1. Broken Access Control (부적절한 인가)사용자가 접근하는 리소스나 기능등을 사용해도 되는지 권한을 확인하는 "접근제어" 에서 적절하게 검증하지 못하여 이루어지는 취약점이다. 취약한 유형1. Insecure Direct Object References애플리케이션이 내부 객체(데이터나 자산)를 고유 식별자로 직접 참조하면서 이에 대한 접근 권한을 적절히 검증하지 못할때사용자가 자신의 비밀 게시글이나 주문 페이지 등 특정한 페이지를 들어감주소는 /orders/1234 등으로 페이지를 고유 식별자 형태로 저장되어 불러오는중사용자는 직접..

블랙박스 입장에서의 취약점 진단을 위한 기량을 늘리기위해 실습책을 하나 더 구매했다.(비박스 책이랑 거의 비슷한 느낌의 실습인것 같은데 여전히 실력이 부족하다 느껴서 다시 처음부터 실력 향상한다는 마음가짐으로 시작했다.) https://www.yes24.com/product/goods/125906619 [전자책]개발자를 위한 웹 해킹 - 예스24우아한형제들,모의 해킹 실무자가 알려주는 개발자를 위한 웹 해킹 입문서!웹 해킹의 주요 취약점 10가지! OWASP Top 10의 순위와 내용을 살펴보고, WebGoat 모의 해킹 실습까지! 웹 해킹의...www.yes24.com 책에선 도커(Docker) 환경 위에 WebGoat라는 환경이 마련된 git 코드를 가져와서 그 내에서 수행하게 도와준다.환경 구축이..