XSS(Cross Site Scripting)
·
Web/Web Hacking & Security
cross site scripting의 약자는 css가 맞지만 css는 Cascading Sytle Sheets가 이미 있기에 xss라 칭한다. XSS공격의 핵심은 데이터를 추출하거나 접근할 수 없는 페이지에 접근하기 위해 서버에 비정상적인 액션을 유발하는 것이다. XSS는 크게 3가지 종류로 나눌 수 있다. 1. 반사된 XSS (Reflected Cross-Site Scripting) 크로스사이트 스크립팅 취약점은 일반적으로 애플리케이션이 동적인 페이지를 사용해 사용자들에게 에러 메세지를 보여줄때 발생한다. 페이지는 매개변수로 문자를 받아 사용자에게 받은 메시지를 다시 보낸다. 사용자가 입력한 값을 중간에 가로채 이를 서버 응답의 HTML 소스에 삽입하는 작업은 크로스사이트 스크립팅 취약점을 이용한 공..
데이터 저장소 공격 (SQL Injection)
·
Web/Web Hacking & Security
거의 모든 애플리케이션은 애플리케이션 내에서 처리되는 데이터를 관리하기 위해 데이터 저장소에 의존한다. 흔히 사용하는 데이터 저장소는 SQL 데이터베이스, XML 기반 저장소, LDAP 디렉터리이다. 인터프리터 언어 안에 공격 코드 삽입 인터프리터 언어로 개발된 것들은 사용자가 입력한 데이터를 받은 후 변조하고 실행함 -> 인터프리터에 의해 처리되는 코드는 사용자가 제공하는 데이터와 프로그래머가 작성한 명령과 뒤섞이게 된다. 어떤경우 공격자의 입력값이 인터프리터 문법으로 인해 데이터를 망가뜨리거나 입력값이 마치 정상적으로 입력되는 것이라고 생각한다. 로그인 우회 SELECT * FROM users WHERE username = 'hoon' and pw = '1' 이 쿼리는 username 칼럼 값이 ho..