잡지전 - 생활 잡학 사전

⚠️ Mishandling of Exceptional Conditions란?개발자가 예상치 못한 입력이나 시스템 오류가 발생했을 때, 이를 적절히 처리하지 않아 발생하는 결함입니다. 크게 두 가지 위험으로 이어집니다.정보 노출 (Information Leakage): 에러 메시지에 데이터베이스 쿼리, 서버 경로, 라이브러리 버전 등 공격자에게 유용한 힌트가 포함됨.보안 로직 우회: 예외가 발생했을 때 시스템이 '안전한 상태(Fail-Safe)'로 돌아가는 대신, 인증을 건너뛰거나 비정상적인 권한을 부여함.🕵️ 주요 발생 사례상세 에러 페이지 노출: 데이터베이스 연결 오류 시, 사용자의 브라우저에 SQL 문장과 테이블 구조가 그대로 출력되는 경우.비정상적인 값 입력: 숫자가 들어갈 자리에 특수문자를 넣었..

📋 Logging & Alerting Failures란?보안 사고는 발생 자체를 막는 것도 중요하지만, **"누가, 언제, 어떻게 들어왔는지"**를 기록하고 즉시 알리는 것도 매우 중요합니다. 이 취약점은 로그를 남기지 않거나, 남기더라도 제대로 분석하지 않아 공격자가 시스템에 머무는 시간(Dwell Time)이 길어지는 상황을 말합니다.**"도둑이 들어왔는데 CCTV가 꺼져 있거나, 경보음이 울리지 않아 도둑이 나갈 때까지 아무도 모르는 상황"**과 같습니다.⚠️ 주요 발생 원인중요 이벤트 미기록: 로그인 성공/실패, 권한 변경, 데이터 삭제 등 보안상 중요한 행위가 로그로 남지 않는 경우.부적절한 로그 보관: 로그가 서버 로컬에만 저장되어 공격자가 침입 후 로그를 지울 수 있거나, 보관 기간이 너무..

📦 Software and Data Integrity Failures란?애플리케이션이 신뢰할 수 없는 소스로부터 소프트웨어 업데이트나 데이터를 가져올 때, 그 **무결성(변조되지 않았음)**을 확인하지 않아 발생하는 취약점입니다.Software Integrity: 내가 사용하는 라이브러리나 업데이트 패키지가 해커에 의해 바뀌지 않았는가?Data Integrity: 내가 받은 데이터(직렬화된 객체 등)가 전송 중에 조작되지 않았는가?⚠️ 주요 발생 원인무결성 검사 누락: 소프트웨어 업데이트나 패키지를 내려받을 때 디지털 서명이나 해시(Hash) 값을 확인하지 않는 경우.안전하지 않은 역직렬화 (Insecure Deserialization): 공격자가 조작한 객체 데이터를 서버가 그대로 받아들여 실행하는 ..

💉 A05: Injection(인젝션)이란?인젝션은 신뢰할 수 없는 데이터가 명령어나 쿼리의 일부분으로 인터프리터에 보내질 때 발생합니다. 공격자의 악의적인 데이터가 의도하지 않은 명령을 실행하거나 적절한 권한 없이 데이터에 접근하도록 인터프리터를 속이는 행위입니다.2021년 기준 3위를 기록했으며, 이는 Cross-site Scripting(XSS)이 인젝션 카테고리에 포함되면서 순위가 조정된 결과입니다. 🔍 주요 인젝션 유형SQL Injection (SQLi)​: 가장 대표적인 유형으로, 웹 애플리케이션의 입력창에 SQL 구문을 삽입하여 데이터베이스(DB)를 조작합니다. (예: 로그인 우회, 데이터 탈취, DB 삭제 등)NoSQL Injection: MongoDB와 같은 NoSQL 데이터베이스를 ..