1. Windows용 AWS CLI MSI 설치 관리자(64비트)를 다운로드하여 실행한다. 아래 주소 클릭 후 다운로드 혹은 윈도우 cmd창에서 해당 명령을 실행하여 MSI 설치 관리자를 실행할 수 있다. https://awscli.amazonaws.com/AWSCLIV2.msi C:\> msiexec.exe /i https://awscli.amazonaws.com/AWSCLIV2.msi 2. 설치를 확인하기 위해 cmd에 aws --version 명령어를 사용한다. C:\> aws --version 위 그림처럼 aws-cli의 버전을 확인 할 수 있다면 설치가 완료된 것이다.

WEB-07 XPath 인젝션 - XML 구조에 악의적인 쿼리 또는 코드를 삽입하여 정보를 탈취하는 공격 - XML은 DB, XPATH는 SQL XPath 명령어 점검 및 판단 기준 - 양호 : 쿼리 입력 값에 대한 검증이 이루어지는 경우 - 취약 : 쿼리 입력 값에 대한 검증이 이루어지지 않는 경우 조치 방법 - 쿼리 입력값에 대해 검증 로직 추가 구현 점검 방법 - [ 'and'a'='a , 'and'a'='b ]와 [ and 1=1, and 1=2 ]의 세트값을 각각 삽입하여 쿼리의 참, 거짓에 따라 반환되는 페이지가 다른지 확인 보안 설정 방법 - XPATH 쿼리에 입력 값이 입력되는 경우, 엄격한 입력값 검증을 통해 필요 문자만을 받아들이게 함 - XPATH 쿼리를 파괴하는 특수문자는 입력하지 ..

WEB-06 SSI 인젝션 - HTML 문서 내 입력받은 변수 값을 서버측에서 처리할 때 부적절한 명령문이 포함 및 실행되어 서버의 데이터가 유출되는 취약점 점검 및 판단 기준 - 양호 : 사용자 입력 값에 대한 검증이 이루어지는 경우 - 취약 : 사용자 입력 값에 대한 검증이 이루어지지 않는 경우 조치 방법 - 사용자 입력 값에 대한 검증 로직 추가 구현 점검 방법 - 인수 값에 를 삽입 하여 전송 후 반한되는 페이지에 사이트의 홈 디렉토리가 표시되는지 확인 - 인수 값에 를 삽입하여 전송 후 반환되는 페이지에 디렉토리의 파일 리스트가 표시되는지 확인 보안 설정 방법 - 사용자 입력으로 사용 가능한 문자들을 정해놓는다 - 정해진 문자들을 제외한 나머지 모든 문자들을 필터링 - 필터링 대상 : GET 질..

WEB-05 SQL 인젝션 사용자의 입력 값으로 웹 사이트 SQL 쿼리가 완성되는 약점을 이용하여, 입력 값을 변조하여 비정상적인 SQL 쿼리를 조합하거나 실행하는 공격. 데이터 베이스를 비정상적으로 조작 가능함 점검 및 판단 기준 - 양호 : 임의의 SQL 쿼리 입력에 대한 검증이 이루어지는 경우 - 취약 : 임의의 SQL 쿼리 입력에 대한 검증이 이루어지지 않는 경우 조치 방법 - 소스 코드에 SQL 쿼리 입력값을 받는 함수나 코드를 써야 할 경우, 임의의 SQL 입력에 대한 검증 로직을 구현하여 검증되지 않는 SQL 쿼리가 인수 값으로 들어올 경우 에러페이지가 아닌 정상 페이지가 반환 되도록 필터링 처리 및 웹 방화벽을 운용할 경우 웹 방화벽에 SQL인젝션 관련 룰셋을 적용하여 SQL 인젝션 공격 ..

WEB-04 운영체제 명령실행 적절한 검증절차를 거치지 않은 사용자 입력 값에 의해 의도하지 않은 시스템 명령어가 실행되는 것 점검 및 판단 기준 - 양호 : 임의의 명령어 입력에 대한 검증이 이루어지는 경우 - 취약 : 임의의 명령어 입력에 대한 명령이 실행되는 경우 조치 방법 - 애플리케이션은 운영체제로부터 명령어를 직접적으로 호출하지 않도록 구현, 부득이하게 사용해야 할 경우 소스 코드나 웹 방화벽에서 특수문자, 특수 구문에 대한 검증을 할 수 있도록 조치 점검 방법 - 웹 애플리케이션 인수값에 시스템 명령어 전달 시 명령이 실행되는지 확인 - 애플리케이션은 운영체제로부터 명령어를 직접적으로 호출하지 않도록 구현 - 명령어를 직접 호출하는 것이 필요한 경우에는 데이터가 OS의 명령어 해석기에 전달되..

WEB-03 LDAP 인젝션 사용자 입력을 기반으로 LDAP 구문을 구축하여 웹 기반 응용프로그램을 악용하는데 사용되는 공격 점검 및 판단 기준 - 양호 : 임의의 LDAP 쿼리 입력에 대한 검증이 이루어져 변조된 쿼리가 실행되지 않는 경우 - 취약 : 임의의 LDAP 쿼리 입력에 대한 검증이 이루어지지 않아 변조된 쿼리가 실행되는 경우 조치 방법 - 지정된 문자열만 입력 허용하고, 임의의 LDAP쿼리 입력에 대한 검증 로직 구현 점검 방법 - 웹 사이트의 사용자 인수 값을 입력 받는 애플리케이션( 로그인 폼 , URL 등 )에 변조 된 LDAP 쿼리 전송 후 실행되는지 확인 보안 설정 방법 - 사용자 입력 받을 White List로 지정하여 영문과 숫자만을 허용 - DN과 필터에 사용되는 사용자 입력 ..