비트(bit)주세요

정보보안 SUA - [오픈소스 보안] 11주차 본문

SUA/오픈소스 보안

정보보안 SUA - [오픈소스 보안] 11주차

yglee730 2021. 12. 14. 23:08
728x90

1. 과제

<[Juice Shop] 취약점 2개 찾기>

<[Go-SCP] 카테고리 공부, README 파일 업데이트>

<codeQL CTF 문제 풀이>

<Python 오픈소스 중 취약한 코드를 안전하게 바꾸기>

<gotify 취약한 코드를 안전한 코드로 바꾸기>

<Excelize 추가 진단>

<uptime kuma 취약점 제보 이메일 보내기>

<Oracle Cloud에 Nginx 구동>

 

2. 내용

<SSRF 취약점>

서버 측에서 위조된 요청을 보내도록 하는 취약점

 

<CSRF vs SSRF>

CSRF(Client Side Request Forgery) : 클라이언트 측의 요청을 변조시킴

 -> 웹사이트가 사용자의 웹브라우저를 신뢰함

 

SSRF(Server Side Request Forgery) : 서버 측의 요청을 변조시킴

     -> 서버 측이 내부 자원을 사용자에게 가져다주게 할 수 있음 

 

<CSRF, SSRF 대응방안>

CSRF : 인증 강화, XSS 대응, Referer 체크

SSRF : 블랙 리스트 방식 사용, 서버와 내부망의 분리

 

3. 후기

CSRF, SSRF 취약점이 항상 헷갈렸는데, 이번 기회에 차이점을 숙지할 수 있었다.

 

4. 결론

CSRF, SSRF 공격 사례 찾아보기

CSRF, SSRF 취약점 대응 코드 찾아보기

 

5. 참고

SSRF 취약점 공부 (1)

https://cosyp.tistory.com/246

 

[WEBHACKING] SSRF(Server-side Request Forgery) 에 대해서

1. SSRF란? CSRF가 클라이언트 측에서 위조된 요청을 보내는 거라면 SSRF는 서버 측에서 위조된 요청을 보내도록 하는 취약점이다. SSRF 취약점을 이용해서 공격자는 웹앱과 같은 서버측 프로그램이

cosyp.tistory.com

 

SSRF 취약점 공부 (2)

https://guleum-zone.tistory.com/165

 

SSRF(Server Side Request Forgery) 취약점

개요 SSRF는 Server Side Request Forgery의 약자로 유사한 이름을 가진 CSRF(Cross Site Request Forgery) 와는 다르게 클라이언트 측의 요청을 변조시키는 것이 아닌 서버 측 자체의 요청을 변조하여 공격자가..

guleum-zone.tistory.com

 

CSRF 취약점 공부

https://swk3169.tistory.com/24

 

[Web] CSRF(Cross Site Request Forgery) 공격 기법

1. CSRF(Cross-site request forgery) 1.1 정의 사이트 간 요청 위조(또는 크로스 사이트 요청 위조, 영어: Cross-site request forgery, CSRF, XSRF)는 웹사이트 취약점 공격의 하나로, 사용자가 자신의 의지와는..

swk3169.tistory.com

 

'SUA > 오픈소스 보안' 카테고리의 다른 글

[Python] 취약/안전 코드를 작성해보기  (0) 2021.12.20
[codeQL] U Boot Challenge - VS Code  (0) 2021.12.11
[Juice-Shop] CAPTCHA Bypass  (0) 2021.12.10
[Juice-Shop] XXE Data Access  (0) 2021.12.10
정보보안 SUA - [오픈소스 보안] 10주차  (0) 2021.12.08
'SUA/오픈소스 보안' Related Articles more