Rookies 9기 (58) 썸네일형 리스트형 애플리케이션 보안 2일차 • XSS(Cross Site Scripting) 웹 애플리케이션에서 가장 기초적인 취약점 공격 방법이다. 악의적인 사용자가 공격하려는 사이트에 스크립트를 넣는 기법을 말한다. 입력 값 검증이 되지 않아 공격에 성공하면 사이트에 접속한 사용자는 삽입된 코드를 실행하게 되며 쿠키나 세션 토큰 등의 민감한 정보를 탈취하거나 HTML 페이지의 내용도 조작/변경이 가능하다. DBD(Drive by Download) 공격은 악성코드를 자연스럽게 다운하도록 유도한다. 원리는 사용자가 취약점이 있는 웹 사이트에 들어가면 스크립트 코드 등을 이용하여 악성 코드가 있는 웹으로 이동시킨다. 이때 자기도 모르게 다운로드를 하게 된다. 악성코드가 실행되면 랜섬웨어 또는 트로이목마가 동작할 수도 있다. ※ 악성 행위가 없어서 .. 애플리케이션 보안 1일차 1. Web 기본과 실습 환경 • HTTP 프로토콜과 HTML의 특징 1. HTTP(Hyper Text Tansfer Protocol)이란 웹 상에서 클라이언트와 서버가 서로 대화하기 위한 통신규약이다. 2. HTTP는 HTML 문서와 같은 리소스들을 가져올 수 있도록 해주는 프로토콜이다. 3. 계속 서버와 클라이언트의 연결 상태를 유지하는 게 아니기 때문에 클라이언트와 서버 간의 최대 연결수보다 많은 요청과 응답 처리가 가능하다. 4. 연결을 끊어버리기 때문에 클라이언트의 이전상황을 알 수 없다. (Stateless 상태 => Stateless 특징 때문에 정보를 유지하기 위해서 Cookie가 등장을 하였다.) ※ Cookie : HTTP의 일종으로서 인터넷 사용자가 어떠한 웹 사이트를 방문할 경우 사.. 이전 1 ··· 5 6 7 8 다음
