Knowledge/웹보안

웹보안(csrf,HTML DOM)

웹보안 HTML DOM DOM(Document Object Model) ◆웹 브라우저에 의해 표현되는 지원들을 객체로 구성하여 스크립트에 의해 접근이나 조작이 가능하도록 만든것을 말한다. ◆트리 구조로 되어 잇으며 구성요소와 속성, 내용을 갖는다. 구성도 DOM 사용예 url 에다가 파라미터를 집어넣어서 웹사이트에 표시되게 한것입니다. 이렇게 xxs를 이용하여 DOM 를 읽고 쓸수 있으며 페이지를 조작할수 있습니다. 이렇게 dom에 스크립트 언어를 작성해서 이미지를 띄울수도 있습니다. CSRF CSRF(Cross Site Request Forgery) 사이트에서 제공하는 기능을 신뢰된 사용자의 권한으로 요청하도록 하는 공격 입니다.(공격자의악성코드를 읽은 victim은 자신도 모르게 Request를 서버..

2016. 9. 9. 00:13

Knowledge/웹보안

웹보안(xss,크로스 사이트 스크립팅,Cross Site Scripting,owasp top 10)

웹보안 owasp top 10 A1. 인젝션 SQL, 운영체제, LDAP 인젝션 취약점은 신뢰할 수 없는 데이터가 명령어나 질의문의 일부분으로서 인터프리터로 보내질 때 발생한다. 공격자의 악의적인 데이터는 예상하지 못하는 명령을 실행하거나 적절한 권한 없이 데이터에 접근하도록 인터프리터를 속일 수 있다. A2. 인증 및 세션 관리 취약점 인증과 세션 관리 관련된 애플리케이션 기능은 정확하게 구현되어 있지 않아서, 공격자가 패스워드, 키 또는 세션 토큰을 해킹하거나 다른 구현 취약점은 공격하여 다른 사용자 ID로 가장할 수 있다. A3. 크로스 사이트 스크립팅 (xss) xss 취약점은 애플리케이션이 신뢰할 수 없는 데이터를 가져와 적절한 검증이나 제한 없이 웹 브라우저로 보낼 때 발생한다. xss는 공격..

2016. 7. 26. 17:16

Knowledge/웹보안

웹보안(WebGoat,SQL injection,해킹 정보수집)

웹보안 WebGoat 개요: WebGoat는 OWASP 에서 제공되는 웹 보안 취약성을 내포한 웹 어플리케이션입니다. 각 웹 보안 취약성을 이해하고 공격 방법을 인식할 수 있도록 작성되었으며, 거의 모든웹 보안 취약성을 다루고 있어 유용한 교육 자료입니다. webgaot 환경을 제공해줍니다.8080포트 사용합니다.아이디:guest 비밀번호:guest 치고 들어가면됩니다.http://localhost/WebGoat/attack 이렇게 치시고 들어가면 됩니다.혹시 포트번호를 바꾸고 싶다고 하시면 tomcat->conf->server->ctrl + F ->

2016. 7. 17. 16:33

Knowledge/웹보안

웹보안(Session Token,cookie,Session Hijacking)

웹보안 Session Token 저장방식 vHTML 페이지에 저장하는 방식uHidden fieldlHidden field를 이용하여 Session Token을 HTML 코드 내에 저장l위험성이 널리 알려져 요즘에는 세션정보를 저장하는 용도로 사용하지 않는다.uURL RewritinglURL에 Session Token을 덧붙여 사용l웹 브라우저에서 쿠키를 사용하지 못하도록 설정한 경우에 주로 사용된다 vCookie에 저장하는 방식uSession Token은 Cookie의 Expires에 따라서 메모리 혹은 디스크에 저장됨lSession Cookie, Persistent Cookie uSession Cookie에 저장하는 방식이 가장 널리 사용됨 hidden.asp이름으로 만듬 아무값이나 넘기기 저는 123..

2016. 7. 17. 03:16

Knowledge/웹보안

웹보안(Encoding,WEB AUTHENTICATION)

웹보안 Encoding Schema 정의:각종 정보를 재현시킬 수 있는 가장 적합한 전송 파형으로 변환하는 것을 말한다. 전신의 모르스 부호도 그 하나로, 정보를 숫자화하는 것도 그것을 지칭하는 것이다. 이유: 데이터를 안전하게 전달하기위해 웹에서 사용되는 인코딩 종류:ASCIIURL EncodingForce Full URL EncodingHTML EncodingUnicode EncodingMS-ScriptBase64 Encoding Etc.. ASCII:▲American Standard Code for Information Interchange 의 약자▲미국 정보 교환 표준 부호▲영문 알파벳을 사용하는 대표적인 문자 인코딩 방법▲7Bit로 이루어져 있다. ( 총 128개의 문자) ASCII 표 URL ..

2016. 7. 11. 02:42

Knowledge/웹보안

웹보안(rfc,프록시 서버,웹구조,HTTP)

웹보안 RFC url : ftp://ftp.ietf.org/rfc rfc(request for comments)문서 프로토콜 상세한 내용 정의rfcindex.txt->찾기(ctrl+F)->TCP(transmission control protocol)찾기rfc793->rfc793.txt.pdf이경로로 들어가면 tcp프로토콜에 대해 상세하게 보실수 있어요 모르는 프로토콜을 보시려면 여기서찾아보시면 되요! 하지만 영어로 되어있어요 world wide web ▶전 세계에 있는 네트워크에 연결된 시스템을 통해 정보를 공유할수 있는 정보 공간▶1989년 3월 유럽 입자 물리 연구소(CERN)의 연구원 인 팀 버너스 리의 제안으로 시작되어 연구, 개발되었다▶웹에 관련된 기술은 월드 와이드 웹 콘소시엄(W3C)이 개발..

2016. 7. 9. 17:37