Knowledge/웹보안

웹보안(csrf,HTML DOM)

웹보안 HTML DOM DOM(Document Object Model) ◆웹 브라우저에 의해 표현되는 지원들을 객체로 구성하여 스크립트에 의해 접근이나 조작이 가능하도록 만든것을 말한다. ◆트리 구조로 되어 잇으며 구성요소와 속성, 내용을 갖는다. 구성도 DOM 사용예 url 에다가 파라미터를 집어넣어서 웹사이트에 표시되게 한것입니다. 이렇게 xxs를 이용하여 DOM 를 읽고 쓸수 있으며 페이지를 조작할수 있습니다. 이렇게 dom에 스크립트 언어를 작성해서 이미지를 띄울수도 있습니다. CSRF CSRF(Cross Site Request Forgery) 사이트에서 제공하는 기능을 신뢰된 사용자의 권한으로 요청하도록 하는 공격 입니다.(공격자의악성코드를 읽은 victim은 자신도 모르게 Request를 서버..

2016. 9. 9. 00:13

Knowledge/웹보안

웹보안(Session Token,cookie,Session Hijacking)

웹보안 Session Token 저장방식 vHTML 페이지에 저장하는 방식uHidden fieldlHidden field를 이용하여 Session Token을 HTML 코드 내에 저장l위험성이 널리 알려져 요즘에는 세션정보를 저장하는 용도로 사용하지 않는다.uURL RewritinglURL에 Session Token을 덧붙여 사용l웹 브라우저에서 쿠키를 사용하지 못하도록 설정한 경우에 주로 사용된다 vCookie에 저장하는 방식uSession Token은 Cookie의 Expires에 따라서 메모리 혹은 디스크에 저장됨lSession Cookie, Persistent Cookie uSession Cookie에 저장하는 방식이 가장 널리 사용됨 hidden.asp이름으로 만듬 아무값이나 넘기기 저는 123..

2016. 7. 17. 03:16