cgy12306

XSS의 여러가지 형태 1. 이다. 브라우저에서 '#'문자 뒤에 있는 값을 서버로 전송하지 않는 것을 이용하여, 브라우저상에서는 '#'뒤에 내용이 실행 된다. 정리를 해보자면 Stored XSS와 Reflected XSS는 서버의 취약점을 이용한 것이고 DOM XSS는 브라우저의 취약점을 이용한 것이다. CSRF(Cross-Site Request Forgery) 웹사이트 취약점 공격의 하나로, 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격 XSS를 이용한 공격이 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면, CSRF는 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것이다. CSRF 방어 기법 1. CSRF 토큰 CSRF 토큰이란 임의난..

실습 환경 : bitnami WAMP XSS(크로스 사이트 스크립팅) : 웹 페이지에 스크립트를 삽입할 수 있는 취약점. 웹 서버에 요청하는 방식 2가지 GET 방식 : 주소창에 ?뒤에 값을 넘겨주는 방식 POST 방식 : ?뒤의 값을 숨겨서 전달하는 방식 예를 들어 친구에게 냉장고를 선물한다고 할 때 직접 전달하는 방식이 GET 방식, 택배로 포장해서 보내는 것이 POST 방식입니다. Reflexed XSS 코드의 내용은 xss.php에 msg를 GET으로 넘겨주면 출력해 줍니다. http://localhost/xss.php?msg=를 입력해주면 스크립트가 실행되는 것을 볼 수 있습니다. Stored XSS - 게시판의 악성 스크립트가 삽입된 형태로 이루어지는 XSS 공격 - 와 같은 태그 사용이 가능..

WAMP WAMP란 W(Window), A(apache), M(mysql), P(PHP)의 약자이다. 윈도우 환경에서 apache 웹서버, db, php를 한번에 설치 및 구성해주는 프로그램이다. PHP란 서버에서 실행되며 HTML을 포함하는 스크립트 언어. HTML을 포함하고 있기 때문에 HTML 내용을 PHP확장자로 저장해도 아무 지장없이 사용 가능.php 구조 예를 들어 www.naver.com/index.php를 브라우저에 치면 index.php를 요청하기 된다. 그러면 www.naver.com이 가리키는 해당 서버의 웹서버는 해당 파일을 서버에서 찾은 후에 확장자를 검사한다. html이나 html이면 해당 파일을 그대로 사용자의 웹 브라우저로 보내주고 그게 아니면 php, php3, inc와 같..