웹 보안 (2) 썸네일형 리스트형 [웹 보안] XSS XSS(Cross-Site-Scripting)이란?악의적인 스크립트를 신뢰할 수 있는 사이트에 삽입하여 사용자의 브라우저에서 실행하게 하는 공격 기법입니다.주로 사용자의 세션을 탈취, 웹사이트 변조, 악성 콘텐츠 리다이렉션하는 등 다양한 목적으로 사용됩니다.대부분의 웹 해킹 공격과는 다르게 서버가 아닌 클라이언트(사용자)를 공격하는 방법입니다. XSS 3가지 유형저장형(Stored)반사형(Reflected)DOM기반 저장형(Stored) XSS악성 스크립트가 서버에 영구적으로 저장되어 다른 사용자들이 해당 페이지를 방문할 때마다 실행됩니다.게시판에 악성 스크립트가 포함된 글을 작성하면 그 글을 읽은 모든 사용자들이 공격에 노출됩니다.예시: 게시판 글에 DOM(Document Object Model) .. [웹 보안] SQL 인젝션 SQL 인젝션이란?SQL 코드를 애플리케이션 입력 파라미터(input 태그)에 삽입하여 데이터베이스를 비정상적으로 조작하는 방식입니다.SQL 인젝션을 통해 공격자는 민감한 데이터에 접근, 수정 및 시스템을 장악할 수 있게 됩니다. 기본 원리웹 애플리케이션이 사용자의 입력을 적절히 검증하지 않거나 이스케이프하지 않고 직접 삽입할 때 발생합니다.SQL문을 작성해신 분들은 쉽게 이해가 가능하실텐데 로그인 SQL문을 작성을 예시로 설명하겠습니다.SELECT * FROM USER WHERE id = 'input_id' AND password = 'input_pw';이때 SQL 인젝션을 해보겠습니다. SELECT * FROM USER WHERE id = 'admin' AND password = '1234' OR .. 이전 1 다음
