컴퓨터공학 전공생의 보안 도전기✌

SQL Injection SQL 쿼리문을 조작하여 서버의 데이터베이스의 데이터를 변조하거나 허가되지 않은 정보에 접근하는 공격. 주로 사용자 입력 데이터를 제대로 검증하지 못한 경우 발생. 공격기법 Error based SQL Injection 논리적 에러 이용 ex) ' or '1'='1 UNION based SQL Injection Union 명령어(두 개의 쿼리문에 대한 결과를 통합한 하나의 테이블) 이용 정상적인 쿼리문에 하나의 추가 쿼리를 삽입하여 정보 획득 조건 - Union 하는 두 테이블의 컬럼 수, 데이터 형이 동일해야만 가능! ex) 'UNION SELECT 1,1 -- Blind SQL Injection - Boolean based SQL 쿼리를 통해 나온 True, False의 정보..

CSRF(Cross Site Request Forgery) 이용자을 속여서 의도치 않은 요청에 동의하게 하는 공격. 임의 이용자의 권한으로 임의 주소에 request를 보낼 수 있는 것 조건 사용자가 보안이 취약한 서버로부터 이미 인증을 받은 상태여야 함 쿠키 기반으로 서버 세션 정보를 획득할 수 있어야 함 공격자는 서버를 공격하기 위한 요청 방법에 대해 미리 파악할 수 있어야 함 공격방법 공격자는 서버에 인증된 브라우저의 사용자가 악성 스크립트가 포함된 페이지를 누르도록 유도(게시글, 메일 등) 사용자가 악성 스크립트가 포함된 페이지에 접근 시, 쿠키에 저장된 세션 ID가 서버로 요청 서버는 이를 확인하여 인증된 사용자의 요청으로 판단하고 처리 get 방식 - , 등을 이용 post 방식 - , 등을 ..

Origin ,,로 구성. 도메인과 비슷하지만, origin은 프로토콜과 포트번호(optional)가 포함된다. 즉 두 URL이 같은 origin을 가지고 있다는 이야기는 이 3(2)가지가 동일한 경우를 말한다. 두 URL의 origin이 다른 경우를 Cross Origin이라고 한다. SOP(Same-Origin Policy) 한 origin에서 로드된 문서 또는 스크립트가 다른 origin의 리소스와 상호작용할 수 있는 방법을 제한하는 중요한 보안 매커니즘. 즉 동일한 origin을 가질 때만 데이터를 읽어올 수 있게 하는 정책. CORS(Cross Origin Resource Sharing) cross origin의 경우에도 데이터를 불러와야 하는 경우가 생긴다. 그럴 때 HTTP header를 이..

도메인 ip주소는 사람이 이해하고 기억하기 어렵기 때문에 각 ip에 이름을 부여한 것 컴퓨터의 이름과 최상위 도메인으로 구성 등록인의 특성에 따른 일반 최상위 도메인은 com(회사), net(네트워크 관련기관), org(비영리기관) 등. 국가를 나타내는 국가 최상위 도메인은 kr(대한민국), jp(일본), cn(중국) 등. DNS Server Domain Name System Server. 수많은 ip주소와 도메인 이름을 기억하는 기능과 클라이언트가 그걸 찾을 때 알려주는 기능을 함. 즉 도메인을 ip주소로 바꿔서 전달해주는 서버 호스트 이름을 ip주소로 풀이. 이메일 전달 서버 확인, ip주소를 호스트 이름으로 풀이 등의 역할을 함. 1) 클라이언트(브라우저)에서 /etc/resolv.conf 에 지정..

인코딩 정보의 형태를 여러 이유때문에 다른 형태나 형식으로 변환하는 처리 혹은 그 처리방식. 컴퓨터는 문자를 인식할 수 없기 때문에 숫자로 변환하여 저장해야 한다. 그 기준이 되는 것이 문자코드(ASCII, 유니코드 등) 문자코드를 기준으로 문자를 코드로 변환하는 것을 문자 인코딩, 코드를 문자로 변환하는걸 문자 디코딩 ASCII Code 미국정보교환표준부호 (American Standard Code for Information Interchange) 최초의 문자열 인코딩. 1바이트 중 7비트를 사용해 128개의 문자 구성 가능. Uni Code 영어 알파벳만 표현할 수 있던 것에서 벗어나 한 가지의 기준으로 전세계의 언어를 모두 표현하기 위해 나온 것. 유니코드는 총 1,114,112개의 문자를 표현할..