개발 고양이발

CSRF 임의 이용자의 권한으로 임의 주소에 HTTP 요청을 보낼 수 있는 취약점이다. CSRF 공격에 성공을 하려면 공격자가 작성한 HTTP 요청을 보낸 코드를 이용자가 실행해야한다. XSS와 CSRF의 차이 공통점 두 개의 취약점은 모두 클라이언트를 대상으로 하는 공격이다. 또한 이용자가 악성 스크립트가 포함된 페이지에 접속하도록 유도해야한다. 차이점 XSS는 인증 정보인 세션 및 쿠키 탈취를 목적으로 하는 공격이다. CSRF는 이용자가 임의 페이지에 HTTP 요청을 보내는 것을 목적으로 하는 공격이다. 이번 시간에는 분량이 엄청 적었다. 출처 https://dreamhack.io/lecture/courses/172 [ClientSide: CSRF 이 코스에서는 클라이언트 사이드 공격인 CSRF에 대..

XSS 클라이언트 사이드 취약점 중 하나로, 공격자가 웹 리소스에 악성 스크립트를 삽입하여 이용자의 웹 브라우저에서 해당 스크립트를 실행할 수 있게 하는것 이다. 공격자는 해당 취약점을 통해 특정 계정의 세션 정보를 탈취할 수 있다. XSS 종류 종류 설명 Stored XSS XSS에 사용되는 악성 스크립트가 서버에 저장되고 서버의 응답에 담겨오는 XSS Reflected XSS XSS에 사용되는 악성 스크립트가 URL에 삽입되고 서버의 응답에 담겨오는 XSS DOM-based XSS XSS에 사용되는 악성 스크립트가 URL Fragment에 삽입되는 XSS Universal XSS 클라이언트의 브라우저 혹은 브라우저의 플러그인에서 발생하는 취약점으로 SOP 정책을 우회하는 XSS Stroed XSS 서..

쿠키(Cookie) 쿠키는 Key와 Value로 이뤄진 일종의 단위이다. 쿠키는 Connectionless, Stateless 특성을 가지고 있다. Connectionless: 하나의 요청에 하나의 응답을 한 후 연결을 종료한다. Stateless: 통신이 끝난 후 상태 정보를 저장하지 않는다. 서버가 클라인어트에게 쿠키를 발급하면, 클라이언트는 서버에 요청을 보낼 때 마다 쿠키를 같이 전송한다. 서버는 클라이언트의 요청에 포함된 쿠키를 확인해 클라이언트를 구분한다. 복습 Web Server 정보를 제공하는 주체 ex) 식당에서 음식을 서빙하는 사람 Web Client 정보를 받는 이용자 ex) 음식을 주문하는 고객 단 쿠키 변조가 일어날 수 있다. 쿠키는 클라이언트의 브라우저에 저장되고 요청에 포함되는..

인코딩 0과 1로 우리의 문자를 표현자 하는 것에 대한 약속 아스키와 유니코드가 있다. 통신 프로토콜 규격화된 상호작용에 적용되는 약속이다. 예를 들어 누군가에게 전화를 걸때 "여보세요" 라고 하는 것 과 같은 약속이다. 이것을 컴퓨터와 통신하는 것으로 적용한다면 좀 더엄격해지는 것이다. 통신프로토콜에는 HTTP, TCP/IP등등이 있다. HTTP 서버와 클라이언트가 데이터의 교환을 요청과 응답 형식으로 정의한 프로토콜 HTTP의 기본 매커니즘은 클라이언트가 서버에게 요청을 하면 서버가 응답을 하는것이다. 네트워크 포트 네트워크에서 서버와 클라이언트가 정보를 교환하는 장소 포트를 항구라는 의미를 가지고 있다. 서비스 포트 네트워크 포트중에 특정 서비스가 점유하고 있는 포트 포트로 데이터를 교환할 때는 전..