whydontyoushovel 님의 블로그

1. Virtual Box 7.1.4 + 우분투 리눅스 20.042. 우분투 APM (Apache2 + PHP + MySQL)3. 기본 웹 루트 경로 /var/www/html4. VScode SSH5. 사진 등은 termius6. 디자인은 부트스트랩 ...   사이트 컨셉>그림판으로 그린 그림 자랑하는 사이트  게시글 수정 및 삭제 드롭다운 버튼> ▷ 조건             게시글 작성자가 해당 페이지 읽을 때만 보임 ▷ 관련 코드          ㉮ DB 데이터 추출  ㉯ 조건에 따라 드롭다운 버튼 출력드롭다운 버튼 클릭 시 해당 게시물의 idx 파라미터를 함수에 전달이때 드롭다운 버튼은 현재 사용자의 id와 게시물 업로드 시 저장한 작성자의 id가 같을 때만 출력 수정 및 삭제 ..

목차CSRF 관련 보안 정책       - SOP       - CORS: ACAO헤더, ACAC헤더요청 방식과 보안 정책에 따른 CSRF 공격 시나리오CSRF 대응 방법       - Referer 체크       - 인증 정보       - CSRF 토큰     CSRF Cross-Site Request Forgery 피해자가 자신의 의도와 무관하게 서버로 어떤 요청을 하게 만드는 공격.   CSRF 관련 보안 정책 ~ 왜 XSS를 찾아야 했나 ~SOPCORS SOP          Same-Origin-Policy (동일 출처 정책)같은 출처에 있는 자원만 이용하게 함.같은 출처: 도메인, 스키마, 포트가 모두 같은 사이트브라우저가 자체적으로 작동시킴자원을 불러올 수는 있는데 자바스크립트로 접근 불..

목차정의취약점 포인트발생 포인트 예시공통점과 차이점  정의 XSS          ▩Cross-Site Scripting 공격임의의 스크립트를 삽입하여 피해자의 브라우저에서 그 스크립트가 실행되도록 하는 공격[+] 자바스크립트 등의 클라이언트 측 스크립트 이용  CSRF         ◐Cross-Site Request Forgery피해자가 원치 않는 임의의 요청을 하게 만드는 공격[+] 스크립트가 꼭 필요하지 않음  취약점 포인트 XSS          ▩공격자가 입력한 스크립트가 문자열 처리되지 않은 채 피해자 브라우저에서 실행되는 곳종류: Stored XSS, Reflected XSS, DOM Based XSS 등 등의 특수문자를 HTML Entity로 치환하여 대응할 수 있음  CSRF      ..

CSRF Cross-Site Request Forgery 피해자가 자신의 의도와 무관하게 서버로 어떤 요청을 하게 만드는 공격.  실생활 예시)은행에 필요한 서류를 제출했더니 통장 잔고가 0원이 되어있음.서류 중에 잔고를 모두 인출하겠다는 내용이 숨겨있던 것.=> 사용자가 의도하지 않은 요청을 교묘히 숨겨 공격자의 목적을 달성시킴.  공격 예시)공격자의 목표: 피해자가 본인도 모르게 마이페이지에 접속해서 비밀번호를 1234로 변경하게 만들자.절차1) 만들어둔 계정으로 마이페이지에서 비밀번호를 변경해봄.2) 버프스위트 등을 이용해 해당 요청 확인3) 만약 비번 변경 시 기존 비번 등의 인증 데이터가 따로 필요 없고, GET방식으로 요청이 가능하다면4) 필요한 파라미터가 포함된 링크를 피해자가 누르게 만듦 ..

SQL Injection서버에서 준비한 쿼리문에 악의적인 의도를 가진 SQL구문을 주입하는 해킹 기법.   1. Union SQL Injection  SQL 질의 결과가 사이트 화면에 출력될 때  2. Error-Based SQL Injection  사이트에 질의문의 결과는 안 나와도 SQL 에러문이 출력될 때 3. Blind SQL Injection  질의문 결과나 에러문이 화면에 출력되지 않지만 쿼리의 참/거짓 결과를 구분할 수 있을 때       ▶ 검색, 인증 뿐만 아니라 쿠키, 동적으로 할당되는 컬럼명, order by 절 등 쿼리가 사용되는 곳에서 SQL Injection이 일어날 수 있기 때문에 버프 스위트 등의 프록시 툴을 이용하여 요청에 어떤 파라미터를 가져가는지 확인해야함. ▶가져가는 ..

1. Virtual Box 7.1.4 + 우분투 리눅스 20.042. 우분투 APM (Apache2 + PHP + MySQL)3. 기본 웹 루트 경로 /var/www/html4. VScode SSH5. 사진 등은 termius6. 디자인은 부트스트랩 ...  그림판으로 그린 그림 자랑하는 사이트   이라기엔 민망하지만 암튼.. 중요한 부분1) index.php(글목록)에서 post.php(글읽기)로 파라미터 전송 및 이동2) 파라미터를 기준으로  DB연동하여 데이터 불러오는 부분3) 불러온 데이터 출력  게시글의 idx값을 파라미터로 받아서 DB데이터를 가져오기 때문에 위 세 부분이 포인트    ▶ index.php에서 게시글 읽기 페이지로 이동"> ..게시물 요소.. a태그로 게시물 요소(카드 요소)를..

※ 여기선 단순 목록 나열만 다룸  1. Virtual Box 7.1.4 + 우분투 리눅스 20.042. 우분투 APM (Apache2 + PHP + MySQL)3. 기본 웹 루트 경로 /var/www/html4. VScode SSH5. 사진 등은 termius   그림판으로 그린 그림 자랑하는 사이트  이라기엔 민망하지만 암튼.. 중요한 부분 1) DB연동하여 데이터 불러오는 부분2) 반복 출력할 게시물 부분  ▶ DB 연동 및 데이터 불러오기   ▶ 게시물 반복 출력 (while문) 0) :?> "> ..