* 본 게시물의 내용은 수업에서 배운 것을 정리한 것이므로 악용해서는 안됩니다. 게시된 내용들은 잘 알려져있는 기술들입니다. 따라서 악용하더라도 쉽게 적발되니 절대 악용해서는 안됩니다.-------------------------------------------------------------------------------------------- 26일차에 CSRF 를 살펴보았다. 방어방법을 살펴봐야할 차례다. * 대응책- XSS 취약점이 없도록 한다 - Session Token만을 이용한 권한 부여 금지 - 서버가 클라이언트가 전달하는 Referer가 정상인지 확인하게 끔 한다 다른 것들이 실행되기전에 제일 먼저 확인해주는게 좋을 것 같다. 요청메시지중에 REFERER 헤더의 문자열을 가지고오게 된다..

* 본 게시물의 내용은 수업에서 배운 것을 정리한 것이므로 악용해서는 안됩니다. 게시된 내용들은 잘 알려져있는 기술들입니다. 따라서 악용하더라도 쉽게 적발되니 절대 악용해서는 안됩니다.-------------------------------------------------------------------------------------------- CSRF ( CROSS SITE REQUEST FORGERY) 사이트에서 제공하는 기능을 신뢰된 사용자의 권한으로 요청하도록 하는 공격 공격자의 악성코드를 읽은 Victim은 자신도 모르게 Request를 서버로 보내게 되고, 서버는 Victim의 권한으로 Request에 대한 처리를 하게 됨. 서버에서 지원하는 모든 기능이 공격범위가 될 수 있음. Victi..

* 본 게시물의 내용은 수업에서 배운 것을 정리한 것이므로 악용해서는 안됩니다. 게시된 내용들은 잘 알려져있는 기술들입니다. 따라서 악용하더라도 쉽게 적발되니 절대 악용해서는 안됩니다.-------------------------------------------------------------------------------------------- * XSS 직접 공격대상에게 스크립트를 전송하는 것이 아니라, XSS 취약점이 있는 곳을 찾아 스크립트에 노출되게 한다. 이번엔 방어를 해보겠다. 스크립트를 실행하기 위해서 사용하는 태그들을 html 인코딩 시켜버리면, 작성은 되지만 실행은 안되는 형태로 변형이 가능해진다. 인코딩해서 저장하면 인코딩된 내용이 db에 저장된다. 게시글을 읽을때 인코딩하는 방식은..

* 본 게시물의 내용은 수업에서 배운 것을 정리한 것이므로 악용해서는 안됩니다. 게시된 내용들은 잘 알려져있는 기술들입니다. 따라서 악용하더라도 쉽게 적발되니 절대 악용해서는 안됩니다. -------------------------------------------------------------------------------------------- *인증 관련 공격기법 - Basic 인증은 ID와 Password를 Base64 방식으로 인코딩하여 모든 HTTP Request에 포함시켜 보낸다. 공격방법 Sniffing Base64 방식으로 인코딩된 ID와 Password를 수집하여 탈취 - ID/PW Brute Forcing hydra 툴로 , Brute Forcing , dictionary attac..

* 본 게시물의 내용은 수업에서 배운 것을 정리한 것이므로 악용해서는 안됩니다. 게시된 내용들은 잘 알려져있는 기술들입니다. 따라서 악용하더라도 쉽게 적발되니 절대 악용해서는 안됩니다.-------------------------------------------------------------------------------------------- * 세션 하이재킹 동일한 네트워크에 있고, 스니핑이 가능한 상황이라면 가능할 수 있는 공격이다. 로그온 된 세션을 훔치는 것인데, 로그인 되있으리라고 짐작된 패킷의 쿠키값을 이렇게 벨류 복사를 해준다. xp의 세션 값을 넣어주고 Trap 풀고 Continue 해주니 로그온 상태로 나온다. 하지만 이대로 놔두면 단 한번밖에 세션유지가 안된다. paros의 기능을..

HTML(Hypertext Markup Languages) Hyper text - 기능이 추가된 텍스트 ex) 링크 웹브라우저를 통해 파싱이라는 작업을 한다.다른 프로그래밍 언어를 활용해서 동적인 페이지를 만들 수도 있다. 한계: 동적인 페이지는 스스로 구현이 안된다. CSS, SSS DOM ###########################구글 지도 Your browser does not support iframes. Click the button to change the background color of the document in the iframe. Try it win2000에서 설정하고xp에서 확인이 가능하다. ############ * JSP 만들기는 까다롭지만 , 보안성이 뛰어나서 점유율이 ..

* 본 게시물의 내용은 수업에서 배운 것을 정리한 것이므로 악용해서는 안됩니다. 게시된 내용들은 잘 알려져있는 기술들입니다. 따라서 악용하더라도 쉽게 적발되니 절대 악용해서는 안됩니다.-------------------------------------------------------------------------------------------- win 2000 에서 ip를 두개를 준다. xp에서 접속 확인. centos 4.4 에서 service mysqldservice httpd 후 xp에서 아이피/aircon 으로 접속 WAPS text 형태의 프로토콜의 모습. 역슬래쉬 r n 이 의미단위를 구분하는 구분자. html 태그가 담겨있는 곳. * HTTP Version - HTTP 1.0 : 1996..

세션값을 unset 시켜주면은 if문에 충족해 login/join 창이 보이게 된다 [회원 가입 기능]: 기능 추가 - 아이디 중복 확인과 비밀번호 확인 기능 추가 후 확인, //아이디는 변경되면 안되니 그대로 표시되게끔 // 패스워드는 노출안되게 벨류값 없이 글 작성하기닉 네임제목내용내용을 입력하세요.파일 파일을 올리면 /var/www/html/basic/data 에 저장된다.

위 그림은 세션초기화 해주는 그림 http는 tcp 인데 전세계 사람들의 접속을 tcp로 유지하기에는 서버가 무리가 있기 때문에 연결을 주기적으로 끊는다.그에 대한 방책으로 세션 토큰 혹은 쿠키를 발급 받고 사용자를 인증하고 서비스 하기 위해 사용한다. * db에 계정 추가하기 use mysql;insert into user (columns....) values ('...','...','...') 후 확인을 해보겠다. user table 에서 user가 careadmin인 필드를 모두 보여주세요 select host,user,password from user where user='careadmin'; 하니간결하게 등록한 정보를 한눈에 볼 수 있다. care_db 라는 데이터 베이스를 만들어주고 이 car..

처음에 class도 안주고, box1 이런식으로 줬더니 간격이 벌어져버리고 코드 또한 지저분해보였다. Class 주고 코드를 최대한 간결하게 정리하는 습관을 들여야겠다. box 4쪽에 float: left로 했을 때 처음에는 겹쳐서 나오고 그랬는데, clear: left 하니까 정상으로 됐다, 다하고 나서 다시 float:left로 바꾸니까 또 이상이 없다 뭐가 문제였는지 잘 모르겠다.. 위에있는 것을 해보고 교안을 보고 따라 해보는것도 좋겠다.