728x90 Security3 [Security] XSS 💡 XSS (Cross-Site Scripting) XSS(Cross-Site Scripting)이란 웹 애플리케이션에서 일어나는 취약점으로 관리자가 아닌 권한이 없는 사용자가 웹 사이트에 스크립트를 삽입하는 공격 기법이다. 악의적인 사용자가 리다이렉션 스크립트를 주입하기도 하고, 사용자의 쿠키를 탈취하여 세션 하이재킹(Session Hijacking) 공격을 수행하기도 한다. 1. Persistent(or Stored) XSS 지속적으로 피해를 입히는 XSS 공격 기법 웹 애플리케이션에서 XSS 취약점이 있는 곳을 파악하고, 악성 스크립트를 삽입 (게시판) 삽입된 스크립트는 데이터베이스에 저장이 되어 사용자들의 쿠키를 탈취하거나 다른 사이트로 리다이렉션 시키는 공격을 한다. 2. Reflected XS.. 2023. 8. 30. [Security] XPATH Injection 💡 Xpath란? XPath(XML Path Language)는 W3C의 표준으로 확장 생성 언어 문서의 구조를 통해 경로 위에 지정한 구문을 사용하여 항목을 배치하고 처리하는 방법을 기술하는 언어이다. XML 표현보다 더 쉽고 약어로 되어 있으며, XSL 변환(XSLT)과 XML 지시자 언어(XPointer)에 쓰이는 언어이다. XPath는 XML 문서의 노드를 정의하기 위하여 경로식을 사용하며, 수학 함수와 기타 확장 가능한 표현들이 있다. Ex > en.wikipedia.org de.wikipedia.org fr.wikipedia.org pl.wikipedia.org en.wiktionary.org fr.wiktionary.org vi.wiktionary.org tr.wiktionary.org /w.. 2023. 8. 30. [Security] Database Backdoors 💡 Database Backdoors란? 말 그대로 ‘뒷문’이라는 의미로 백도어를 통해 정상적인 인증 절차를 거치지 않고, 컴퓨터와 암호 시스템 등에 접근할 수 있도록 하는 방법이다. 백도어는 시스템 설계자나 관리자에 의해 개발 등의 이유로 인해 고의로 남겨진 시스템의 보안 허점이다. Ex> 값을 조회하면서 sql문장을 하나 더 사용해 salary를 update시킨다. 101; update employee set salary=100000 where userid=101 id 입력 칸에 이렇게 입력하게 되면 id가 101인 사람을 조회하면서 salary를 100000으로 업데이트 시킬 수 있다. 2023. 8. 30. 728x90
