| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
| 31 |
- reflected
- 취약점
- 쉴더스
- 성균관대학교
- xsstool
- 루키즈
- Burp
- SK쉴더스
- CSRF
- 워게임
- wargame
- 정보보안
- 대학원
- paddingoracle
- web
- hacking
- xst
- XSS
- 웹 해킹
- extension
- PADDING
- 드림핵
- bypass
- OWASP
- Android
- attack
- crosssitescripting
- 특수대학원
- httpOnly
- Burp suite
- Today
- Total
목록Web Security (3)
Why Always Me!
2. CSRF
1. 개요CSRF(Cross Site Request Forgery)는 희생자의 의도와 관계 없이 희생자의 권한으로 웹 애플리케이션에 특정 행동을 취하게 만드는 공격 기법입니다. 이를 이해하기 위해선 브라우저에 저장되는 인증정보에 대한 사전 지식이 필요합니다. 이 글에서는 일반적으로 사용하는 세션에 대한 이야기를 하겠습니다.HTTP 통신은 비연결성을 가지고 있습니다. 즉, 요청을 주고 받을 때만 연결을 유지하고 그 이후에는 연결을 끊어버립니다. 클라이언트가 누구인지 식별할 수 없기 때문에 서버는 세션을 발급합니다. 세션은 쿠키에 저장되고 서버 요청 시 호스트에 해당하는 쿠키 값을 헤더에 넣어 서버에 전송합니다.서버는 쿠키 값에 포함된 세션 값을 받고 사용자를 식별합니다. 따라서 공격자가 서버에 특정 요청을..
1. XSS
1. 개요 XSS(Cross Site Scripting)은 2021년 OWASP Top 10 3번째(Injection)에 위치해 있으며 과거부터 지금까지 꾸준하게 발생하고 있는 취약점입니다. XSS는 사용자의 입력 값 검증을 제대로 수행하지 않기 때문에 발생하며, 이를 통해 공격자는 타사용자의 브라우저에서 악성 스크립트를 실행시킬 수 있습니다. 대표적인 영향으로는 인증 정보 탈취 및 악성 코드 유포 등이 있겠습니다. 2. 분류 XSS는 서버 저장 유무에 따라 Persistent XSS와 Non-Persistent XSS로 구분할 수 있습니다. Persistent(Stored) XSS는 서버에 악성 스크립트가 저장되어 지속적으로 이용자들에게 피해를 유발시킵니다. Non-Persistent(Reflected..
해당 카테고리는 웹 시큐리티에 대해 다룹니다. 1. XSS 1. XSS 1. 개요 XSS(Cross Site Scripting)은 2021년 OWASP Top 10 3번째(Injection)에 위치해 있으며 과거부터 지금까지 꾸준하게 발생하고 있는 취약점입니다. XSS는 사용자의 입력 값 검증을 제대로 수행하지 않기 때 racilu.tistory.com 2. CSRF 2. CSRF 1. 개요 CSRF(Cross Site Request Forgery)는 희생자의 의도와 관계 없이 희생자의 권한으로 웹 애플리케이션에 특정 행동을 취하게 만드는 공격 기법입니다. 이를 이해하기 위해선 브라우저에 저장되는 racilu.tistory.com