* 본 게시물의 내용은 수업에서 배운 것을 정리한 것이므로 악용해서는 안됩니다. 게시된 내용들은 잘 알려져있는 기술들입니다. 따라서 악용하더라도 쉽게 적발되니 절대 악용해서는 안됩니다.-------------------------------------------------------------------------------------------- CSRF ( CROSS SITE REQUEST FORGERY) 사이트에서 제공하는 기능을 신뢰된 사용자의 권한으로 요청하도록 하는 공격 공격자의 악성코드를 읽은 Victim은 자신도 모르게 Request를 서버로 보내게 되고, 서버는 Victim의 권한으로 Request에 대한 처리를 하게 됨. 서버에서 지원하는 모든 기능이 공격범위가 될 수 있음. Victi..

* 본 게시물의 내용은 수업에서 배운 것을 정리한 것이므로 악용해서는 안됩니다. 게시된 내용들은 잘 알려져있는 기술들입니다. 따라서 악용하더라도 쉽게 적발되니 절대 악용해서는 안됩니다.-------------------------------------------------------------------------------------------- * XSS 직접 공격대상에게 스크립트를 전송하는 것이 아니라, XSS 취약점이 있는 곳을 찾아 스크립트에 노출되게 한다. 이번엔 방어를 해보겠다. 스크립트를 실행하기 위해서 사용하는 태그들을 html 인코딩 시켜버리면, 작성은 되지만 실행은 안되는 형태로 변형이 가능해진다. 인코딩해서 저장하면 인코딩된 내용이 db에 저장된다. 게시글을 읽을때 인코딩하는 방식은..

* 본 게시물의 내용은 수업에서 배운 것을 정리한 것이므로 악용해서는 안됩니다. 게시된 내용들은 잘 알려져있는 기술들입니다. 따라서 악용하더라도 쉽게 적발되니 절대 악용해서는 안됩니다. -------------------------------------------------------------------------------------------- *인증 관련 공격기법 - Basic 인증은 ID와 Password를 Base64 방식으로 인코딩하여 모든 HTTP Request에 포함시켜 보낸다. 공격방법 Sniffing Base64 방식으로 인코딩된 ID와 Password를 수집하여 탈취 - ID/PW Brute Forcing hydra 툴로 , Brute Forcing , dictionary attac..