본문 바로가기

보안3

[본격 웹보안 Part 1.3] 폼 변조 공격이란? 안녕하세요 cocy입니다. 이번시간에는 폼 변조 공격에 대해 배워 보도록 하겠습니다. 지난시간에 sql injection을 방어하기위해 스크립트를 추가하여, '(single qutation) 문자를 발견하면 폼을 서브밋 하지 못하게 하였는데요, 폼 변조 공격을 하게되면 이를 무효화 시킬 수가 있게됩니다. 우선 lndex.jsp페이지를 실행시켜 우클릭후 소스보기를 합니다. 지금 하는 작업들은 사용자(공격자)의 입장에서 생각하셔야합니다. 그럼 소스가 보일텐데요, 전체선택(Ctrl + A) 후 소스를 카피(Ctrl+C)하여 메모장을 열고(실행 > notepad) 붙여넣기(Ctrl+V)합니다. 이후 소스를 수정합니다. 스크립트를 무효화 하기위해 모든 스크립트 구문을 삭제하고, form 태그 안에 action에 .. 2012. 9. 20.
[본격 웹보안 Part 1.2] SQL Injection이란 ? 안녕하세요 cocy입니다. 오늘은 대표적인 웹 10대 보안 취약점 중 하나인 SQL인젝션(SQL Injection) 에 대해 배워 보도록 하겠습니다. SQL은 데이터베이스의 쿼리언어라는 것을 짐작하실테고, injection의 뜻은 주입하다, 주사하다 정도의 뜻입니다. 이 의미는 바로 사용자가 데이터를 넣을 수 있도록 만든 필드에 악의적으로 sql쿼리를 망가뜨리거나 변조할 수 있는 구문을 삽입하여, 개발자가 원래 의도하지 않은 기능을 수행케 하거나, 데이터베이스를 조작하여 정보유출 등을 일으킬 수 있는 웹 해킹 공격 유형입니다. 설명보단 직접 실습하면서 이해하도록 하겠습니다. 지난시간에 만든 로그인 화면을 띄워주시기 바랍니다. 정상적이라면 회원 가입시 넣은 아이디와 패스워드를 입력하고, 메세지와 함께 로그.. 2012. 9. 19.
[본격 웹보안 Part 1.1] 웹 해킹도 로그인부터 안녕하세요 cocy입니다. 이번시간에는 웹에서 기본적으로 다루는 웹 보안에 대해 알아보도록 하겠습니다. 보안을 하시려면 만들어봐야 왜 뚫리는지 이해가 빠르시겠죠? 본격 게시판 part 1을 진행하고 오시기 바랍니다. 2012/06/13 - [Lecture/HTML] - [본격 게시판짜기 Part1.1 - 게시판도 HTML부터] 게시글 리스트 2012/06/13 - [Lecture/HTML] - [본격 게시판짜기 Part1.2 - 게시판도 HTML부터] 글입력폼 2012/06/13 - [Lecture/Javascript-기초] - [본격 게시판짜기 Part1.3 - Dom 맛보기 ] 글입력폼 검사 2012/06/13 - [Lecture/Jsp] - [본격 게시판짜기 Part1.4 - HTML-> JSP] .. 2012. 9. 19.