WHOIS/Web hacking (4) 썸네일형 리스트형 CORS, CSP 소개 및 webhacking.kr 21 문제 풀이 CORS란? : cors는 Cross-Origin Resource Sharing의 약자로 교차 출처 리소스 공유 정책이라고 생각하면 된다. 추가 HTTP 헤더를 사용하여, 한 출처에서 실행중인 웹 어플리케이션이 다른 출처의 선택한 자원에 접근 권한을 부여하도록 브라우저에 알려주는 체계이다. 간단히 말해서 브라우저에서 다른 출처의 리소스를 공유하는 방법이다. 출처? : URL 구조의 프로토콜, 호스트, 포트를 합친 것을 의미 --------------------------------------------------------------------------------------------------------------------- CSP란? : csp는 Content security Policy의 약자로.. LoS Gremlin, Cobolt, Goblin 문제 풀이 및 보안 패치 방안 1. Gremlin 문제는 위와 같다. 쿼리문 실행 후 단순히 'id' 값이 조회가 가능하면 해결되는 문제이다. 다음과 같이 간단한 sql 공격문을 통해서 해결 할 수 있다. 간단히 설명하자면 id는 1이라는 의미 없는 값을 넣어준 뒤 pw에 '로 pw를 임의로 닫아준 후 or 1=1 식을 통해 조건을 그냥 true로 만들어 버린다. 이후 %23 주석문을 통해 뒤에 내용들을 전부 주석 처리 해서 실행하면, 다음과 같이 정상적으로 쿼리 실행 후 solve("gremlin")이 실행되어 문제가 풀린걸 확인 할 수 있다. %23을 통해 '를 주석 처리를 해주었기 때문에 쿼리문이 정상적으로 실행된 것이다. -----------------------------------------------------------.. REST API GET, POST, PUT, DELETE 정리 REST API? : REST 아키택처의 제약 조건을 준수하는 어플리케이션 프로그래밍 인터페이스를 의미 GET Methed : 데이터를 조회할 때 쓰는 메서드 ex) GET http://localhost:8000/user/1 위와 같이 데이터를 조회 POST Methed : 데이터를 추가할 때 쓰는 메서드 ex) POST http://localhost:8000/user { "id" : "test_user", "password" : "1q2w3e4r5t", "phonenumber" : "010-1234-1234" } 위와 같이 새로운 데이터를 추가 PUT Methed : 기존의 데이터를 수정할 때 사용 ex) PUT http://localhost:8000/user/1 { "password" : "abc12.. 쿠키, 세션 공통점, 차이점 세션 쿠키, JWT 정리 쿠키와 세션의 공통점 : 매번 페이지 로그인을 다시 하는 등의 번거로움을 해결하기 위해 클라이언트와 서버의 웹 통신 정보와 상태를 기록하여 다시 페이지에 접속했을때 그대로 로그인 정보가 남아있기 하기 위한 용도로 사용 됨. 쿠키와 세션의 차이점 : - 쿠키 : 해당 접속 정보를 클라이언트에 저장함. 즉, 사용자가 임의로 변조하는 등으로 악용될 가능성이 있음 . - 세션 : 해당접속 정보를 접속중인 웹서버에 저장함. 쿠키에 비해서 보안적으로 안전하지만, 서버의 자원을 소모된다는 단점이 있음. 세션쿠키란? : 쿠키의 종류중 하나로, 클라이언트와 웹서버의 활성화된 연결을 의미함. 로그오프 하거나 브라우저를 닫으면 만료된다. JWT(Json Web Token) : 클라이언트와 서버 통신시 권한 인가를 위해 사용.. 이전 1 다음
