[webDev] HTTP 와 HTTPS

[webDev] HTTP 와 HTTPS

목차   1. HTTP의 등장 배경 2. HTTP와 HTTPS란 무엇인가? 3. SSL/TLS 핸드셰이크 과정 4. HSTS와 보안5. 결론 위의 목차를 클릭하면 해당 글로 자동 이동 합니다. HTTP의 등장 배경HTTP를 알기 위해서는, 처음 웹이 만들어졌을 때로 돌아가보아야 합니다. 웹은 1989년에 팀 버너스 리 (Tim Bernrs-Lee)가 제안한 정보 공유 시스템으로, 인터넷을 기반으로하여 전 세계 사람들이 쉽게 정보를 공유하기 위한 목적으로 만들어졌습니다.   팀 버너스 리가 1980년대 유럽 입자 물리 연구소(CERN)에서 일하면서 수많은 연구자들이 각기 다른 시스템에 데이터를 저장하고 있어 정보의 접근성과 연결성이 낮다는 불편함을 겪게 됩니다. 연구자들이 서로의 연구 데이터를 쉽게 공유하..

  • format_list_bulleted Study Log/Web 개발
  • · 2024. 9. 22.
[정보보안] Cross Site Request Forgery 공격

[정보보안] Cross Site Request Forgery 공격

Cross site request forgery (CSRF) 공격에 대해 알아보자.  목차   1. CSRF의 정의 2. CSRF와 XSS의 차이점 3. Http method에 따른 CSRF 공격 4. CSRF 대응 방안위의 목차를 클릭하면 해당 글로 자동 이동 합니다.  CSRF의 정의CSRF (cross site request forgery) 이란 서버로 사용자가 의도하지 않은 요청을 하게 만드는 공격이다. 웹 애플리케이션에서 요청하는 정보와 사용자의 정보가 일치하는지 검증하지 않는 곳에서 CSRF 취약점이 발생한다. 공격자의 요청이 사용자의 요청인 것처럼 속이는 공격 방식이기에 크로스 사이트 요청 위조라 불린다. CSRF 공격이 이루어지는 과정을 다이어그램으로 나타내었다.   CSRF와 XSS의 차..

  • format_list_bulleted IT 성장기 (교육이수)/모의해킹 스터디 (2024.04-09)
  • · 2024. 7. 5.
[모의해킹 CTF] Client Script XSS 문제 풀이

[모의해킹 CTF] Client Script XSS 문제 풀이

Basic Script Prac, Steal Info, Steal Info2 CTF 문제에 대한 풀이 과정을 서술한다. 목차   1. Basic Script Prac 2. Steal Info 3. Steal Info2  요청한 데이터를 중계 서버로 응답 받아, 응답 내용을 확인하는 용도로 아래 사이트를 이용하였다.  https://public.requestbin.com/r/ RequestBin.com — A modern request bin to collect, inspect and debug HTTP requests and webhooks public.requestbin.com  Basic Script Prac문제의 목적은 Flag Here.. 부분에 숨겨진 관리자의 정보를 탈취하는 것이다.  문제 풀..

  • format_list_bulleted IT 성장기 (교육이수)/CTF 문제풀이
  • · 2024. 7. 3.
[정보보안] XSS 취약점의 정의와 종류

[정보보안] XSS 취약점의 정의와 종류

웹 취약점인 Cross Site Scripting (크사) 에 대해 알아 보자.  XSS의 정의와 종류목차   1. XSS 정의 2. Stored XSS 3. Reflected XSS 4. DOM based XSS 5. XSS 취약점 방지위의 목차를 클릭하면 해당 글로 자동 이동 합니다. XSS 의 정의XSS란?XSS : Cross Site Scripting 의 약자로 X는 Cross의 영어 심볼을 따와 XSS로 불리게 되었다.  이는 웹 사이트에서 공격자가 입력한 악성 스크립트가 사용자 측에서 실행되는 취약점으로, 사용자 입력값에 대한 검증이 미흡하거나 출력 시 필터링 되지 않을 경우 발생한다.  공격자가 삽입한 스크립트가 사용자 측에서 어떻게 동작하는지에 따라, 아래와 같이 3가지 분류로 나눌 수 있..

  • format_list_bulleted IT 성장기 (교육이수)/모의해킹 스터디 (2024.04-09)
  • · 2024. 7. 3.
[모의해킹 CTF] Blind SQLi 6

[모의해킹 CTF] Blind SQLi 6

모의해킹 스터디 중 CTF 문제에 대한 풀이 과정을 서술하며, 문제에 도달하는 과정을 이해하기 위한 목적으로 작성. CTF SQLi 6 문제 풀이 목차   1. SQLi Point 확인 2. Data 추출 코드 3. Python 코드위의 목차를 클릭하면 해당 글로 자동 이동 합니다.  SQLi Point 확인입력한 구문에 따라, 참과 거짓 값이 구분되어 리턴 되는지 확인한다. normaltic’ and (‘1’=‘2’) and ‘1’=‘1normaltic’ and (‘1’=‘1’) and ‘1’=‘1  Data 추출 코드1. Database 명 찾기'UserId': f"normaltic' and (ascii(substr((select table_name from information_schema.tabl..

  • format_list_bulleted IT 성장기 (교육이수)/CTF 문제풀이
  • · 2024. 7. 2.
[정보보안] Error based & Blind SQL Injection 실행 방법

[정보보안] Error based & Blind SQL Injection 실행 방법

모의해킹 스터디 7주차 강의 내용에 대한 정리입니다. (근 한 달간 현생 이슈라는 핑계로 블로그 작성이 뜸했으나 다시 마음을 잡아보도록 하죠! 한 번에 완벽하지 않더라도 꾸준히만 하자!... 제발) Error based & Blind SQLi 실행 방법에 대해 알아 보자 목차   1. Error Based SQLi 2. 예제) Error Based 3. Blind SQLi 4. 예제) Blind 5. 입력하기위의 목차를 클릭하면 해당 글로 자동 이동 합니다.  Error Based SQLiSQL의 잘못된 문법이나 자료형 불일치 등에 의해 데이터베이스가 알려주는 데이터베이스 오류 메시지에 의존하여 수행되는 공격 기법이다. 따라서 웹 애플리케이션에서 데이터베이스 오류를 표시해 주는 곳에서만 사용할 수 있다는..

  • format_list_bulleted IT 성장기 (교육이수)/모의해킹 스터디 (2024.04-09)
  • · 2024. 7. 2.