ITSTEIN

웹의 해킹 기술중 sql injection을 알아보겠다. 1. sql injection* 클라이언트의 입력값을 조작하여 서버의 데이터베이스를 공격하는 '코드 인젝션'의 한 기법이다.* 공격은 매우 쉽지만 파급력은 매우 큰 해킹* sql injection 취약점의 탐지 및 방어도 매우 쉽다. 2. 공격 예제* 로그인 기법- select * from user_info where id = '${id}' and password = '${pass}'- ${id} = test , ${pass} = ' or '1' = '1- ${id} = eggrok'; -- , ${pass} = ' or '1' = '1- ${id} = eggrok' or '1' = '1 , ${pass} = 12345 * 이메일 변경 및 새로운비..

웹 해킹에서 간단하면서도 자주 이용되는 XSS에 대해서 알아보겠다. 1. XSS (Cross Site Scripting)- 웹 상에서 많이 이용되는 해킹 방법- 해커가 공격 목표가 되는 사이트에 악성 스크립트를 넣어서 해킹 하는 기법- 악성 스크립트가 삽입되면, 일반 사용자가 사이트에 접속시 해당 스크립트가 실행되어, 사용자가 모르는 사이에 해킹을 위한 행동을 하게되거나, 쿠키나 세션토큰등 민감한 정보를 탈취한다. (세션토큰은 탈취해서 세션 하이재킹등의 공격에 이용될수 있다.) 2. XSS의 종류* Stored XSS- 해커는 데이터 베이스에 악의적인 스크립트를 저장하고, 사용자의 브라우저에서 해당 스크립트가 실행되어 공격- DB에 데이터를 저장할때, 스크립트등을 필터하지 않고 그대로 저장하는 경우.. ..