[Web] CSRF(Cross Site Request Forgery) 공격
·
Security/WebHacking
안녕하세요 오늘은 CSRF 교차 사이트 위조 공격에 대해서 알아보겠습니다. 웹 서비스는 쿠키 또는 세션을 사용해 이용자를 식별합니다. 만약 임의 사용자의 쿠키를 사용할 수 있다면 임의 사용자의 권한으로 웹 서비스의 기능을 사용할 수 있다. CSRF는 임의 사용자의 권한으로 임의 주소에 HTTP 요청을 보낼 수 있는 취약점이다. XSS와 CSRF는 스크립트를 웹 페이지에 작성하여 공격한다는 점에서 유사하며 둘의 공통점과 차이점에 대해서 보자면 공통점: 두 취약점은 모두 클라이언트 대상으로 하는 공격으로 이용자가 악성 스크립트가 포함된 페이지에 접속하도록 유도해야한다. 차이점: 두 취약점은 서로 다른 목적을 가지고 있으며 XSS는 인증 정보인 세션 및 쿠키 탈취를 목적으로 하는 공격으로 공격할 사이트의 오리..
[Web] XSS(Cross Site Scripting) 공격
·
Security/WebHacking
안녕하세요 오늘은 XSS(Cross Site Scripting) 공격에 대해서 한번 알아보겠습니다. XSS공격이란 클라이언트 사이드 취약점 중에 하나로 공격자가 웹 리소스에 악성 스크립트를 사용하여 이용자의 웹 브라우저에서 해당 스크립트를 실행할 수 있다. 공격자는 이러한 취약점을 통하여 특정 계정의 세션정보, 쿠키 등을 탈취하고 해당 계정의 권한을 획득할 수 있다. XSS 공격은 이용자가 삽입한 내용을 출력하는 기능에서 발생하여 대표적인 예로 게시물과, 댓글이 있다. XSS 종류 Stored XSS XSS가 사용되는 악성 스크립트가 서버에 저장되고 서버의 응답에 담겨오는 XSS Reflected XSS XSS에 사용되는 악성 스크립트가 URL에 삽입되고 서버의 응답에 담겨오는 XSS DOM-Based ..
[Web] 쿠키(Cookie) 세션(Session)
·
Security/WebHacking
안녕하세요 오늘은 웹서비스를 사용할때 웹브라우저에 저장되는 쿠키, 웹서버에 저장되는 세션에 대해서 알아보겠습니다. 웹페이지(서버)는 수많은 접속자들(클라이언트)들을 어떻게 관리하고 구별할까요? 우리가 웹 서버와 통신을 하기 위해선 HTTP프로토콜을 사용합니다. 웹서버에 있는 정보를 보거나 전송을 할때 GET POST메서드와 같은 메서드를 사용하며 이외에도 헤더(Header)를 통해 웹 서버에게 요청을 보내며 서버는 요청을 읽고 클라이언트에게 결과 값을 반환합니다. 이때 헤더에는 클라이언트 정보와 요청, 인증정보(Cookie) 등이 포함되어 있습니다. 클라이언트의 IP 주소와 user-agent는 매번 변경될 수 있습니다. 또한 HTTP 프로토콜의 두가지 특징 때문에 웹 서버는 클라이언트를 기억할 수 없습..