개발세발보안중

XSS (Cross-site scripting) 1. 반사된 XSS (Reflected XSS) 2. 저장된 XSS (Stored XSS) 3. DOM (Document of M ) 기반의 XSS - 서버의 응답을 변경하지 않음 - 브라우저의 DOM 의 취약점을 악용 - 사용자의 XSS 방어 방법 1. 입출력 값 검증 2. XSS 방어 라이브러리, 브라우저 확장 앱 사용 3. 웹 방화벽 사용 4. 쿠키 HttpOnly 활성화 XSS-game Lv1. url을 통해 전달되는 GET방식으로 전달되고 있다. query라는 변수에 검색 입력값이 들어가고 화면에 뿌려주는 코드에서 query가 들어간 것을 확인 html코드에 들어가는 변수를 직접 사용자가 건들일 수 있다면 위험한 코드임 query 변수에 들어가는 ..

웹 - World Wide Web (WWW) -인터넷 웹 특징 - 인터넷 상에서 텍스트/그림/소리/영상 등 멀티미디어 정보를 하이퍼텍스트 방식으로 연결하여 제공 하이퍼 텍스트(hypertext)? - 문서 내부에 또 다른 문서로 연결되는 참조를 집어 넣음으로 웹 상에 존재하는 여러 문서끼리 서로 참조할 수 있는 기술 웹 페이지 - HTML 언어를 사용하여 작성된 하이퍼텍스트 문서 -웹 상에 있는 개별 문서 -웹 서버에 저장됨 HTML: 뼈대, CSS: style, JavaScript: 동작 웹 해킹 - 웹어플리케이션 해킹 -웹 서비스 상에서 발생될 수 있는 모든 보안 허점을 이용한 악의적인 행위 - 웹 사이트의 취약점을 공격하는 기술적 위협 (유형) - 웹 엔진 취약점을 이용한 해킹 - 웹 애플리케이션의..

1. 쿠키 ​ 쿠키/세션/캐시 ​ 쿠키: 사이트를 방문하고 이용할 때 브라우저에 저장되는 내용 (클라이언트 정보) 웹사이트는 쿠키를 통해 접속자의 장치를 인식하고, 접속자의 설정과 과거 이용내역에 대한 일부 데이터를 저장 쿠키의 한계: 사용자가 수정 가능, 열람 쉬움 쿠키를 쓰는 이유: HTTP는 Connectionless과 Stateless 특징을 갖고 있기 때문에 로그인을 유지하기 위해서 쿠키가 필요함 ex) 네이버 로그인 유지 ​ 세션: 브라우저가 종료되기 전까지 클라이언트의 요청을 유지하게 해주는 기술 쿠키에 저장하기 곤란한 정보들을 세션에 저장 세션을 사용하는 서비스에 접속하면 서버에서는 사용자들을 구분하기 위한 기한이 짧은 쿠키 ​ 쿠키vs세션 저장 위치- 쿠키:로컬, 세션:로컬&서버 보안: ..