'분류 전체보기' 카테고리의 글 목록 (79 Page)

본문 바로가기

전체보기317

Cross Site Request Forgery (CSRF) 이미지를 불러오는 img 태그, 웹 페이지에 입력된 양식을 전송하는 form 태그를 사용태그를 이용해 HTTP 요청을 보내면 HTTP 헤더인 Cookie에 이용자의 인증 정보가 포함됨 // 이미지 크기를 줄일 수 있는 옵션 제공 window.open('http://');// 새 창 띄우기location.href = 'http://';location.replace('http://');// 현재 창 주소 옮기기 XSS와 CSRF는 스크립트를 웹 페이지에 작성해 공격한다는 점에서 매우 유사- 공통점모두 클라이언트 대상 공격, 이용자가 악성 스크립트가 포함된 페이지에 접속하도록 유도함- 차이점 XSS: 인증 정보인 세션 및 쿠키 탈취가 목적공격할 사이트의 오리진에서 스크립트를 실행CSRF: 이용자가 임의 페이지.. 2024. 6. 23.

Cross-Site-Scripting (XSS) * Cross Site Scripting (XSS)클라이언트 사이드 취약점 중 하나공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에서 해당 스크립트 실행특정 계정의 세션 정보 탈취, 해당 계정으로 임의 기능 수행 Stored XSS: 악성 스크립트가 서버에 저장되고 서버의 응답에 담겨옴Reflected XSS: 악성 스크립트가 URL에 삽입되고 서버의 응답에 담겨옴DOM-based XSS: 악성 스크립트가 URL Fragment에 삽입됨Universal XSS: 클라이언트의 브라우저 혹은 플러그인에서 발생하는 취약점, SOP 정책 우회 document.cookie// 현재 페이지의 쿠키 (return type: string) document.cookie = "name=test;";// .. 2024. 6. 12.

Cookie & Session Connectionless: 하나의 요청에 하나의 응답을 한 후 연결을 종료, 새 요청이 있을 때마다 항상 새로운 연결을 맺음Stateless: 통신이 끝난 후 상태 정보를 저장하지 않음 쿠키(Cookie): HTTP에서 상태를 유지하기 위해 사용하는 Key-Value 형태의 값세션(Session): 쿠키에 포함된 Session ID를 사용해 서버에 저장된 세션 데이터에 접근하는 방식 쿠키에 세션 정보 저장, 서버는 이를 통해 이용자를 식별하고 인증을 처리 세션 하이재킹(Session Hijacking): 공격자가 이용자의 쿠키 -> 세션에 해당하는 인증 상태를 훔침 Same Origin Policy (SOP): 동일 출처 정책, 현재 페이지의 출처가 아닌 다른 출처로부터 온 데이터를 읽지 못하게 하는 .. 2024. 6. 11.

Challenge 5 Login 버튼과 Join 버튼이 보인다.혹시나 해서 드래그 해봤는데 아무것도 없었음 먼저 Join 버튼을 눌러봤지만 칼같이 차단당했다. 이번엔 옆에 Login 버튼을 눌렀더니 mem/login.php 주소로 이동했다.그렇다면 Join의 주소는 mem/join.php 일 것 같아 입력했더니 bye... 페이지의 코드를 한 번 확인해봤다. 조금 어지럽다. 메모장에 보기 좋게 정리해봤더니소문자 l은 a, ll은 b, lll은 c ... 대문자 I는 1, II는 2, III는 3 ... 같은 형식으로 쭉 적혀 있었다. 해석해보면 쿠키에 'oldzombie' 라는 문자가 포함되어 있고url에 'mode=1'이 있으면 통과되는 것 같다. 쿠키 편집 프로그램을 이용해 값에 oldzombie 를 적어주고join.ph.. 2023. 12. 22.

이전 1 ··· 76 77 78 79 80 다음

티스토리툴바