블로그 블로그

: 6주차 10/28 ~ 11/03 [드림핵] SQL Injection 데이터베이스DBMS(DataBase Management System)데이터 관리(기록, 수정, 삭제, 접근, 조회 등)종류관계형(테이블) → MySQL, MariaDB, PostgreSQL, SQLite비관계형(키-값) → MongoDB, CouchDB, Rdeis 관계형 데이터베이스Relational DBMS테이블(행과 열로 구성)을 통해 데이터 관리SQL(쿼리 언어) 사용기본 구조 → 데이터  SQL(Structured Query Language)질의를 위해 사용언어 설명언어설명DDL(Data Definition Language)데이터 정의스키마, DB 생성/수정/삭제 등을 수행DML(Data Manipulation Languag..

: 5주차 09/30 ~ 10/06 [드림핵] Cross Site Request Forgery (CSRF) 교차 사이트 요청 위조쿠키서명과 같은 역할(요청에 동의) → 쿠키 탈취(XSS) 및 위조(CSRF) 위협에 주의 Cross Site Request Forgery(CSRF) → 이용자를 속여 의도치 않은 요청에 동의하게 함(이용자가 HTTP 요청을 보내도록 함)예시 코드 1(송금 기능 수행)→ 계좌 비밀번호 등의 추가 인증이 없기 때문에 로그인한 모두가 해당 기능을 이용할 수 있음// 이용자의 송금 요청GET /sendmoney?to=dreamhack&amount=1337 HTTP/1.1Host: bank.dreamhack.ioCookie: session=IeheighaiToo4eenahw3# 송금 ..

4주차 09/23 ~ 09/29 [드림핵] Cross-Site-Scripting (XSS) XSS (Cross Site Scripting)클라이언트 사이드 취약점웹 페이지의 이용자를 대상으로 공격할 수 있는 취약점세션 및 쿠키 정보 탈취 가능XSS클라이언트 사이드 취약점 중 하나로, 공격자가 웹 리소스에 스크립트를 삽입하는 것페이지 변조 혹은 스크립트 실행 가능XSS 발생 예시 및 종류종류 설명종류설명Stored XSS악성 스크립트가 서버에 저장된 후 응답에 담김Reflected XSS악성 스크립트가 URL에 삽입된 후 응답에 담김DOM-based XSS악성 스크립트가 URL Fragment에 삽입• Fragment는 서버 요청/응답 에 포함되지 않음Universal XSS클라이언트의 브라우저/브라우저 ..

2주차 09/09 ~ 09/15 [드림핵] Cookie & Session 쿠키클라이언트의 IP 주소, User-Agent는 매번 변경될 수 있음HTTP 프로토콜은 Connectionless, Stateless함Connectionless → 한 요청 당 하나의 응답을 한 후 연결을 종료Stateless → 통신 종료 후 상태 정보를 저장하지 않음→ 웹 서버는 클라이언트를 기억할 수 없으므로 쿠키를 이용 쿠키클라이언트의 정보(인증 정보 포함)와 요청의 내용을 구체화하는 데이터Key + Value이용(클라이언트) 서버에 요청 전송 시 쿠키를 함께 전송(서버) 쿠키를 통해 클라이언트 구분용도정보 기록 → 클라이언트 정보 저장 (팝업 다시 보지 않기 등)상태 정보 → 로그인 상태 및 이용자 구별쿠키 변조변조된 쿠..

1주차 09/02 ~ 09/08 [드림핵] Background - Web * 편집 및 사진 파일 문제 9/9(월) 중으로 수정 예정→ 수정 완료 웹인터넷 기반 서비스 → HTTP를 이용하여 정보 공유정보정보 제공하는 → 웹 서버정보 제공받는 → 웹 클라이언트웹 보안다양한 분야에서 이용되는 서비스가 됨 → 웹에서 처리하는 정보 자산이 많아지며 안전한 보관 및 처리의 중요성 증가서비스 구조프론트엔드 → 이용자의 요청을 받음웹 리소스로 구성백엔드 → 요청을 처리함 웹 리소스웹의 정보 자산구성URI(Uniform Resource Identifier) → 웹 리소스의 식별자(이름) → (예시) dreamhack.ioURL은 “식별자+위치” → http://dreamhack.io/index.htmlHTML(Hype..