Study
[XSS] 크로스 사이트 스크립팅 공격과 대응 방법
우선, 저는 보안에 대해 전문가가 아니며 웹페이지 구축 중 습득한 정보, 공부한 정보를 바탕으로 정리를 기반하여 이 글을 작성합니다. XSS란? XSS는 Cross Site Scripting의 약자로 악의적인 스크립트 언어를 웹페이지에 삽입 후 그 웹페이지에 방문하는 사람의 쿠키, 세션의 정보를 탈취하여 해커에서 전송하거나 악의적인 행동을 하는 공격 기법입니다. 이 XSS는 여러가지 공격 기법이 있는데 대표적으로 url에 코드 삽입, 검증되지 않은 url로 값 전송, script 삽입 등이 있다. XSS공격은 방법이 무수히도 많고 방문하는 웹사이트를 공격하여 악의적인 스크립트를 심어두고 방문자를 공격하는 방식이라 안전한 사이트라고 생각한 곳에서도 공격을 당할 수 있습니다. 공격 종류 콘텍스트 코딩 방어책..
[CSRF] 사이트간 요청 위조, 원리 및 대응 방법
우선, 저는 보안에 대해 전문가가 아니며 웹페이지 구축 중 습득한 정보, 공부한 정보를 바탕으로 정리를 기반하여 이 글을 작성합니다. CSRF 란? CSRF는 사용자가 의도치 않게 공격자가 의도한 행동을 하게 만드는 공격기법이다. 정보처리기사 시험을 준비하면서 공격 기법 중 하나라는 걸 알게 되었고, 일을 하며 실제로 이러한 해킹 및 공격에 대응하는 사실이 흥미로워 공부하고 정리하고자 한다. 앞서 말한 듯 CSRF는 특정 페이지에 방문할 때 사용자가 원하지 않는 행위를 하는 것으로 예를 들어 특정 사이트에 로그인 or 로그아웃, SNS의 악의적 게시글, 예매 취소, 더 크게는 은행을 통해 돈을 송금하는 등 보다 큰 불법적인 공격을 할 수 있다. 이렇게 사용자가 원하지 않는 현상을 유도하는 것을 말한다. ..
[네트워크 보안] Dos / DDos 공격 차이 및 설명
서비스 거부 공격 (Dos; Denial Of Service Attack) 서비스 거부 공격이란, 공격자가 무수히 많은 트래픽을 일으켜 해당 서비스의 정상적인 서비스를 방해하는 행위이다. 공격자 대상 1 1 공격의 종류 - (Dos 공격 종류) 1. Ping Of Death : ICMP 패킷을 정상적인 크기보다 크게 만들어 전송, 이를 재조합하는 과정에서 많은 부하 및 버퍼 오버플로우가 발생하게 하는 공격 2. Land Attack : 출발지와 목적지를 동일하게 만들어 공격 대상이 자기 자신에게 응답을 하도록 하는 공격 3. Smurf Attack :출발지를 공격대상 IP로 위조한 ICMP 패킷을 브로드캐스트하여 공격 대상이 다수의 ICMP 응답을 받게 만드는 공격 4. Teardrop : 하나의 IP ..