1. 정의 XQuery를 사용하여 XML 데이터에 대한 동적 쿼리문을 생성할 때 사용하는 외부 입력값에 대해 적절한 검증 절차가 존재하지 않으면 공격자가 쿼리문의 구조를 임의로 변경할 수 있게 된다. 이로 인해 허가되지 않은 데이터를 조회하거나 인증 절차를 우회할 수 있다. 2. 안전한 코딩 기법 XQuery에 사용되는 외부 입력데이터에 대하...

1. Tesseract 테서랙트(Tesseract)는 다양한 운영 체제를 위한 광학 문자 인식 엔진이다. 이 소프트웨어는 Apache License, 버전 2.0에 따라 배포되는 무료 소프트웨어이며 2006년부터 Google에서 개발을 후원했다. 2006년 테서랙트는 당시 가장 정확한 오픈 소스 OCR 엔진 중 하나로 간주하였다. 2. 특징 ...

1. 광학 문자 인식이란 광학 문자 인식(Optical character recognition; OCR)은 사람이 쓰거나 기계로 인쇄한 문자의 영상을 이미지 스캐너로 획득하여 기계가 읽을 수 있는 문자로 변환하는 것이다. 이미지 스캔으로 얻을 수 있는 문서의 활자 영상을 컴퓨터가 편집 가능한 문자 코드 등의 형식으로 변환하는 소프트웨어로써 일반...

1. ANSI SQL이란 DBMS(Oracle, My-SQL, DB2 등)에서 각기 다른 SQL을 사용하므로, 미국 표준 협회(American National Standards Institute)에서 이를 표준화하여 표준 SQL 문을 정립 시켜 놓은 것이다. 2. 특징 표준 SQL 문이기 때문에 DBMS의 종류에 제약을 받지 않는다. (MySQ...

1. 정의 사용자로부터 입력되는 값을 외부사이트의 주소로 사용하여 자동으로 연결하는 서버 프로그램은 피싱(phishing) 공격에 노출되는 취약점을 가질 수 있다. 일반적으로 클라이언트에서 전송된 URL 주소로 연결하기 때문에 안전하다고 생각할 수 있으나, 해당 폼의 요청을 변조함으로써 공격자는 사용자가 위험한 URL로 접속할 수 있도록 공격할 수 ...

1. 사용자 변경 su(substitute user)는 유닉스 명령을 로그아웃하지 않고 다른 사용자의 권한으로 shell을 실행하는데 사용된다. 일반적으로 관리 작업을 위해 다시 로그 오프하지 않고 사용자의 권한을 root로 변경하는데 사용된다. 같은 방법으로 다른 사용자로 전환하는데 사용된다. KDE와 GNOME과 같은 데스크톱 환경은 사용자가 ...

1. UML이란 통합 모델링 언어(UML, Unified Modeling Language)는 소프트웨어 공학에서 사용되는 표준화된 범용 모델링 언어이다. 이 표준은 UML을 고안한 객체 관리 그룹에서 관리하고 있다. 객체 지향 프로그래밍 소프트웨어 집약 시스템을 개발할 때 산출물을 명세화, 시각화, 문서화할 때 사용한다. 2. 다이어그램의 종류 다...

1. 정의 위험한 형식 파일 업로드(Unrestricted Upload of File with Dangerous Type)는 서버 측에서 실행될 수 있는 스크립트 파일(asp, jsp, php 파일 등)이 업로드 가능하고, 이 파일을 공격자가 웹을 통해 직접 실행시킬 수 있는 경우 공격자는 스크립트 파일을 업로드하고 이 파일을 통해 시스템 내부명령어를...

1. 정의 운영체제 명령어 삽입(Improper Neutralization of Special Elements Used in an OS Command, OS Command Injection)은 적절한 검증 절차를 수행하지 않은 사용자 입력값이 운영체제 명령어의 일부 또는 전부로 구성되어 실행되는 경우, 의도하지 않은 시스템 명령어가 실행되어 부적절하게...

1. 정의 크로스 사이트 스크립트(Improper Neutralization of Input During Web Page Generation, Cross-site Scripting)는 웹 페이지에 악의적인 스크립트를 포함해 사용자 측에서 실행되게 유도할 수 있다. 예를 들어 검증되지 않은 외부 입력이 동적 웹 페이지 생성에 사용될 경우, 전송된 동적...