어플리케이션의 위협 보호 owasp 의도하지않은악성SQL문자를삽입해웹사이트를 통해 데이터베이스를 비정상적으로 조작하거나 정보를 출력하는 해킹 기법 예) 나는 ‘모든 회원’이야. 내 정보를 줘 예) 나는 ‘모든 회원’이야. 내 정보를 다 지워 줘 Sample code: https://www.owasp.org/index.php/Testing_for_SQL_Injection_( OTG-INPVAL-005) 3. 어플리케이션 위협 보호 ● SQLinjection방지

1. 동적 SQL 사용을 가급적 제한
2. 입력 값에 적절한 검증 절차를 적용하고 위험한 값은 위험하지 않은 값으로 치환, 입력 값이 허용 범위내에있는지사전조치
3. 데이터베이스의 여러 리턴 및 에러 메시지 외부 노출 금지
4. 웹 보안 취약점을 주기적으로 점검 및 Secure Coding 지향
5. 웹 방화벽 사용

웹 공격 : Cross Site Scripting 공격자에 의해 작성된 스크립트가 다른 사용자에게 전달되고 해당 스크립트로 페이지가 깨지거나 쿠키 및 개인 정보를 특정 사이트로 탈취하는 공격

1. 공격자가 취약한 웹사이트에 악의적인 스크립트를 주입
2. 희생자 (일반 사용자)가 웹사이트에서 악의적인 스크립트를 트리거
3. 희생자의 브라우저에서 악의적인 스크립트가 실행되어 희생자가 모르는 사이 주요 데이터들이 공격자에게 전송
4. 어플리케이션 위협 보호 ● Cross Site Scripting 방지

1) 내용 입력란에 HTML 태그와 자바 스크립트를 금지 2) 문제성이 있는 입력 데이터를 오류 메시지와 함께 출력하지 않도록 Encoding, Escape 활용 3) 웹 보안 취약점을 주기적으로 점검 및 Secure Coding 지향 4) 웹 방화벽 사용

aws waf 규칙 생성방법

1. amazon manged rule 자체 규칙을 작성하지 않고 일반적인 애플리케이션 취약성 또는 기타 원치 않는 트래픽에 대한 보호를 제공하는 aws 관리형 서비스 wcu 1500안에서 aws threat research team trt에서 관리하고 유지하는 규칙 세트 amazon

2. custom rule

3. aws marketplace

waf full 로깅