![]()
1.클릭재킹(Clickjacking)사용자가 의도하지 않은 클릭 동작을 하도록 유도하는 공격 기법 2.클릭재킹 유형2-1.UI Redressing숨겨진 레이어 위에 버튼이나 링크를 덮어놓고, 사용자가 그 버튼이나 링크를 클릭하게 되면 실제로는 숨겨진 레이어의 악성 코드가 실행되게한다. 2-2.Frame Overlay악성 웹 페이지가 특정 기능을 제공하는 웹 페이지를 iframe 등을 사용하여 덮어쓰고, 사용자의 클릭을 이용하여 악성 동작을 수행하도록 유도한다. 2-3.Click Hijacking사용자가 클릭하려는 버튼이나 링크가 실제로는 다른 악성 요소 위에 있어, 사용자의 클릭 동작이 의도치 않게 해킹자가 원하는 동작을 수행하도록 만드는 공격 2-4.Cursorjackingdiv 요소..
![]()
CSRF(Cross Site Request Forgery)사이트 간 요청 위조인증된 세션을 이용하여 공격자가 사용자의 의지와 상관없이 비정상적인 요청을 보내도록 하는 웹 보안 취약점공격자가 희생자의 권한을 도용하여 특정 웹 사이트의 기능을 실행하게한다. img 태그를 이용한 가짜 요청 만들어서 CSRF 공격을 하는 모습 🎈참고자료https://stir.tistory.com/265https://hobbylists.tistory.com/entry/CSRF-%EC%B7%A8%EC%95%BD%EC%A0%90%EC%97%90-%EB%8C%80%ED%95%9C-%EA%B0%84%EB%8B%A8%ED%95%9C-%EC%84%A4%EB%AA%85%EA%B3%BC-%EA%B7%B8..
![]()
SQL 인젝션(SQL Injection)사용자 입력을 통해 들어오는 데이터를 악의적으로 이용하여 SQL 쿼리를 조작하거나 실행시키는 것 1.Error based SQL Injection공격자가 데이터베이스로부터 에러 메시지를 이용하여 정보를 추출하는 SQL 인젝션 기법 해당 사이트는 로그인을 실패시 Login failed 라는 에러 메세지를 출력한다. 하지만 아무문자열 뒤에 ' 를 입력하게 되면 다른 에러메세지를 볼수있다. sql 문을 입력하기 위해 크롬 개발자 도구를 통해 패스워드 최대 글자수를 조작한다. 해당 비밀번호는 다음과 같은 sql 문을 이용해 비밀번호를 식별하고있다.여기에 비밀번호란에 다음과같은 sql문을 넣는다. "SELECT * FROM employee WHERE ..
![]()
XSS(Cross-Site Scripting)공격자가 악의적인 스크립트를 웹 페이지에 삽입하여 다른 사용자에게 실행되도록 하는 공격 기법 1.저장된 XSS(Stored Cross Site Scripting)악성 스크립트를 데이터베이스나 서버에 저장된 후, 다른 사용자가 해당 데이터를 조회할 때 스크립트가 실행 내부에 악성 스크립트를 작성한 내용의 글을 작성한다. 글을 열면 악성 스크립트가 작동한다. 2.반사된 XSS(Reflected XSS)공격자가 입력한 스크립트가 즉시 실행되는 공격이다. 이 사이트는 digit코드에 잘못된 글을 적으면 이런 오류가 뜨는것을 이용하여 XSS 공격을 할수있다. 3.DOM기반 XSS(DOM based XSS)JavaScript 코드가..
![]()
1.OAuth(Open Authorization)인터넷 사용자들이 비밀번호를 제공하지 않고 다른 웹사이트 상의 자신들의 정보에 대해 웹사이트나 애플리케이션의 접근 권한을 부여할 수 있는 공통적인 수단으로서 사용되는, 접근 위임을 위한 개방형 표준이다.이를 통해 사용자는 각기 다른 사이트에 개별적으로 로그인하지 않아도 되며, 개인 정보를 안전하게 보호할 수 있다. 1-1.OAuth의 사용처간단하게 인증과 권한을 획득하게 할수있다.다음처럼 외부 소셜계정으로 간편하게 회원가입,로그인 할수있게 하는것을 볼수있다.이때 사용되는 프로토콜이 OAuth다. 1-2.OAuth 사용이유?보안 강화OAuth는 사용자의 비밀번호를 제3자 서비스에 직접 노출시키지 않고 안전하게 인증할 수 있도록 한다. 인증 프로세..
