webhacking (2) 썸네일형 리스트형 [2020.05.19] Dreamhack 개념정리 - 4강 Client-side Advanced https://dreamhack.io/ 해커들의 놀이터, DreamHack 해킹과 보안에 대한 공부를 하고 싶은 학생, 안전한 코드를 작성하고 싶은 개발자, 보안 지식과 실력을 업그레이드 시키고 싶은 보안 전문가까지 함께 공부하고 연습하며 지식을 나누고 실력 향 dreamhack.io 1. Client-side Advanced Client-side에서 발생하는 취약점들을 잘못 방어한 사례에 대해 알아보고 이를 공격하는 방법들을 다룬다. 이 외에도 XSS와 연계하여 HTML(DOM)과 자바스크립트 간에 객체 이름이 겹치는 것을 이용해 공격하는 DOM Clobbering에 대해 알아보고, 더불어 RPO(Relative Path Overwrite) 공격기법과 이를 방어하는 법에 대해서도 알아본다. 2. X.. [2020.03.31] Dreamhack 개념정리 - Client-side Basic 1. Client-side Basic Client-side 취약점의 주목적 공격자는 사용자로부터 본인을 식별하기 위한 사용자 정보, 즉 쿠키나 쿠키에 저장된 세션 아이디를 탈취해 사용자 권한을 얻거나, 사용자의 브라우저에서 자바스크립트를 실행하거나 특별한 행위를 수행하도록 하여 사용자가 보낸 것처럼 요청을 전송하는 것이 클라이언트 사이드 취약점의 주 목적 취약점이 발생할 수 있는 이유 웹 브라우저는 Stateful한 상태를 유지하기 위해 모든 HTTP 요청에 쿠키를 함께 보냄 ※ stateful: client의 이전 상태를 기록하고 있는 것 > 서로 다른 사이트인 dreamhack.io와 theori.io에서 dreamhack.io/resource1에 요청을 보내지만, 같은 쿠키가 함께 보내지는 것을.. 이전 1 다음
