해킹4 [본격 웹보안 Part 1.4] XSS(Cross Site Scripting) 공격이란? 2012/09/19 - [Lecture/Jsp] - [본격 웹보안 Part 1.1] 웹 해킹도 로그인부터 2012/09/19 - [Lecture/Jsp] - [본격 웹보안 Part 1.2] SQL Injection이란 ? 2012/09/20 - [Lecture/Jsp] - [본격 웹보안 Part 1.3] 폼 변조 공격이란? 안녕하세요 cocy입니다. 이번시간에는 XSS(Cross Site Scripting)공격에 대해 알아보겠습니다. 방금 경고창이 뜨셨나요? 공격이라고 하기엔 뭐하지만 티스토리에서 부분적으로 스크립트를 허용하기때문에 스크립트 코드를 삽입해 보았습니다. 이것이 바로 XSS의 예가 되겠습니다. 그런데 여담이지만 Cross Site Scripting인데 CSS가 아니고 XSS인 이유는 디자인에.. 2012. 11. 15. [본격 웹보안 Part 1.3] 폼 변조 공격이란? 안녕하세요 cocy입니다. 이번시간에는 폼 변조 공격에 대해 배워 보도록 하겠습니다. 지난시간에 sql injection을 방어하기위해 스크립트를 추가하여, '(single qutation) 문자를 발견하면 폼을 서브밋 하지 못하게 하였는데요, 폼 변조 공격을 하게되면 이를 무효화 시킬 수가 있게됩니다. 우선 lndex.jsp페이지를 실행시켜 우클릭후 소스보기를 합니다. 지금 하는 작업들은 사용자(공격자)의 입장에서 생각하셔야합니다. 그럼 소스가 보일텐데요, 전체선택(Ctrl + A) 후 소스를 카피(Ctrl+C)하여 메모장을 열고(실행 > notepad) 붙여넣기(Ctrl+V)합니다. 이후 소스를 수정합니다. 스크립트를 무효화 하기위해 모든 스크립트 구문을 삭제하고, form 태그 안에 action에 .. 2012. 9. 20. [본격 웹보안 Part 1.2] SQL Injection이란 ? 안녕하세요 cocy입니다. 오늘은 대표적인 웹 10대 보안 취약점 중 하나인 SQL인젝션(SQL Injection) 에 대해 배워 보도록 하겠습니다. SQL은 데이터베이스의 쿼리언어라는 것을 짐작하실테고, injection의 뜻은 주입하다, 주사하다 정도의 뜻입니다. 이 의미는 바로 사용자가 데이터를 넣을 수 있도록 만든 필드에 악의적으로 sql쿼리를 망가뜨리거나 변조할 수 있는 구문을 삽입하여, 개발자가 원래 의도하지 않은 기능을 수행케 하거나, 데이터베이스를 조작하여 정보유출 등을 일으킬 수 있는 웹 해킹 공격 유형입니다. 설명보단 직접 실습하면서 이해하도록 하겠습니다. 지난시간에 만든 로그인 화면을 띄워주시기 바랍니다. 정상적이라면 회원 가입시 넣은 아이디와 패스워드를 입력하고, 메세지와 함께 로그.. 2012. 9. 19. [본격 웹보안 Part 1.1] 웹 해킹도 로그인부터 안녕하세요 cocy입니다. 이번시간에는 웹에서 기본적으로 다루는 웹 보안에 대해 알아보도록 하겠습니다. 보안을 하시려면 만들어봐야 왜 뚫리는지 이해가 빠르시겠죠? 본격 게시판 part 1을 진행하고 오시기 바랍니다. 2012/06/13 - [Lecture/HTML] - [본격 게시판짜기 Part1.1 - 게시판도 HTML부터] 게시글 리스트 2012/06/13 - [Lecture/HTML] - [본격 게시판짜기 Part1.2 - 게시판도 HTML부터] 글입력폼 2012/06/13 - [Lecture/Javascript-기초] - [본격 게시판짜기 Part1.3 - Dom 맛보기 ] 글입력폼 검사 2012/06/13 - [Lecture/Jsp] - [본격 게시판짜기 Part1.4 - HTML-> JSP] .. 2012. 9. 19. 이전 1 다음