보안
-
Cross Site Scripting (XSS)보안 2017. 12. 1. 13:35
Cross Site Scripting (XSS) 특정페이지에 스크립트를 넣어서 세션을 가로채거나 공격자가 의도한대로 행동하도록 만드는 웹 공격의 일종 - String.fromCharCode() 함수 삽입- String.fromCharCode()함수를 사용하여 URL 정보를 인코딩 하는 기법이며, 일반 문자열을 10진수로 표기하여 관리자의 가독성을 떨어뜨린다. - www.test.com/test?input= - 웹사이트에서 ipt> 이와 같은 형태의 공격을 해볼 수 있다. - 스크립트 태그에 악성 스크립트의 주소를 넣어서 공격 스크립트 내용 /* This file is based on the file from http://ha.ckers.org/xss.js It has been reproduced here..
-
SQL Injection보안 2017. 11. 17. 14:16
SQL Injection 1. SQL Injection 이란? 사용자가 서버에 제출한 데이터가 SQL query로 사용되어 Database나 시스템에 영향을 주는 공격기법입니다. 데이터 베이스와 연동된 웹 응용 프로그램에서 입력된 데이터의 유효성 검증을 하지 않는 보안취약점을 이용한 공격으로 예상치 못한 SQL문이 실행되어 정보 유출로 이어질 수 있습니다. SQL Injection은 주로 사용자에게 이름이나 ID와 같은 입력을 요청할 때 발생 하며 정상적인 값 대신에 데이터 베이스에서 실행할 SQL문을 입력합니다. 로그인 창을 예로 들면 ID와 Password를 입력하는 부분이 있는데 이곳에 ID : test, Password : qwerty 이렇게 입력하고 로그인 버튼을 누르게 되면 이 값이 서버의 D..