1. Web hacking (웹 해킹)/2) 개념 정리 (43) 썸네일형 리스트형 [25.05.16] 웹 떠봐요 5주차 활동 XSS 정의XSS는 Cross Site Scripting의 약자로, 웹 페이지 이용자를 대상으로 공격할 수 있는 취약점이다. 공격자가 웹 페이지에 악성 스크립트를 삽입하여 이용자의 세션 정보 등을 탈취하고 임의의 기능을 수행할 수 있다. XSS 종류Stored XSS악성스크립트가 서버에 저장되고, 서버 응답에 담겨오는 XSSReflected XSS악성스크립트가 URL에 삽입되고, 서버 응답에 담겨오는 XSSDOM-based XSS악성스크립트가 URL Fragment에 삽입되는 XSSUniversal XSS브라우저 안에 악성 스크립트를 실행하는 XSS. SOP 정책을 우회하기도 한다. XSS 공격 방법자바스크립트는 웹 문서의 동작을 정의하며, 이용자와의 상호 작용 없이 이용자의 권한으로 정보를 조회하거나.. [25.05.09]웹 떠봐요 4주차 활동 Cookie & Session 쿠키Key와 Value로 이뤄진 일종의 단위클라이언트의 정보 기록과 상태 정보를 표현하는 용도로 사용Connectionless: 하나의 요청에 하나의 응답을 한 후 연결을 종료Stateless: 통신이 끝난 후 상태 정보를 저장하지 않는 것 세션인증 정보를 서버에 저장하고 해당 데이터에 접근할 수 있는 키(=유추할 수 없는 랜덤한 문자열)를 만들어 클라이언트에 전달하는 방식으로 작동세션 하이재킹공격자가 이용자의 쿠키를 훔칠 수 있으면 세션에 해당하는 이용자의 인증 상태 훔칠 수 있음. 즉, 타 이용자의 쿠키를 훔쳐 인증 정보를 획득하는 공격해결 방법: 서버 생성 후 로그인 창에 들어가 guest로 로그인 후 개발자 도구에서 value 값을 admin으로 바꿔준다. 동일 출.. [25.04.11]웹 떠봐요 3주차 활동 1. NOSQL injection nosql: sql을 사용하지않고 복잡하지 않은 데이터를 저장해, 단순 검색 및 추가 검색 작업을 위해 매우 최적화된 공간 Non-Relational DBMS) -MongoDB : json 형태인 도큐먼트를 저장/ sql 처럼 쿼리문이 아닌, 객체 기반의 쿼리를 사용 -MongoDB 연산자comparison$eq지정된 값과 같은 값을 찾음 $in배열 안의 값들과 일치하는 값을 찾음 $ne (not equal)지정된 값과 같지 않은 값을 찾음 $nin (not in)배열 안의 값들과 일치하지않는 값을 찾음Logical$and논리적 and, 각각의 쿼리를 모두 만족하는 문서 반환 $nor논리적 nor, 각각의 쿼리를 모두 만족하지않는 문서가 반.. [25.04.04]웹 떠봐요 2주차 활동 1. SQL Injection SQL Injection은 웹 애플리케이션에서 사용자 입력을 적절히 검증하지 않을 경우 발생하는 보안 취약점이다. 공격자는 악의적인 SQL 쿼리를 주입하여 데이터베이스의 정보를 조회하거나 조작할 수 있다. 2. SQL Injection 유형SQL Injection은 다양한 방식으로 발생할 수 있으며, 대표적인 유형은 다음과 같다. 1) Union-based SQL InjectionUNION SELECT구문을 활용하여 추가적인 데이터를 조회하는 방식예시: ' UNION SELECT username, password FROM users --이 공격을 통해 다른 테이블의 정보를 가져올 수 있음2) Boolean-based Blind SQL Injection참/거짓 결과에 따라 .. [24.11.02] XSS(Cross-Site Scripting) / 파라미터 변조 보호되어 있는 글입니다. [24.10.26] SQL Injectio 보호되어 있는 글입니다. [24.09.28] OS Command Injection & XXE Injection 보호되어 있는 글입니다. [24.09.21] 실습 환경 세팅 & 웹 해킹에 대한 이해 보호되어 있는 글입니다. 이전 1 2 3 4 ··· 6 다음
