전체 글93 XSS 정리 1. XSS(Cross-Site Stripting)이란 클라이언트 측 스크립트(코드)를 삽입해서 클라이언트의 브라우저에서 실행되게 만드는 공격 2. 공격 유형 Stored XSS 서버에 스크립트를 저장하는 방식 광역으로 시전이 가능하지만, 특정인을 지정해서 공격할 수 없고 서버에 기록이 남는다 Reflected XSS 서버에 스크립트를 저장하지 않는 방식 서버에서 반사시킨 값을 이용하는 공격 URL에 링크를 담아서 보내는 방식(GET방식을 사용, POST 사용불가) DOM Based XSS DOM: Document Object Model 임의의 Document 객체를 삽입하여 실행시키는 공격이다. 3. 공격 방법 1) 값을 입력했을 때 그 값이 나오는지 확인 2) HTML 특수문자 필터링 여부 확인 2023. 5. 19. 28. 침입차단시스템 침입차단시스템(방화벽) 공중 네트워크와 사설 네트워크 사이에 실치 된 일종의 벽 인터넷 기반 공격으로부터 내부 네트워크를 보호하고 보안과 감시를 할 수 있는 길목을 한 군데로 모으는 데 있음 접근제어 목록을 통해 네트워크에 전송되는 트래픽에 대한 보안 정책을 설정 방화벽은 특별한 형태의 참조모니터이다. 방화벽 제어 기능 서비스 제어, 방향 제어, 사용자 제어, 행위 제어 방화벽의 기능 및 역할 접근통제, 사용자 인증, 감사 및 로그 기능, 프라이버시 보호, 서비스 통제, 데이터 암호화 방화벽의 한계점 악성 소프트웨어 침투 방어에 한계가 있다 악의적인 내부 사용자의 공격을 막을 수 없다 자신을 통과하지 않은 통신에 대한 제어 역시 불가능함 전혀 새로운 형태의 공격을 막을 수 없다 방화벽의 향후 발전 방향 .. 2023. 5. 18. 27. IDS/IPS IDS(침입탐지시스템) 자원의 무결성, 비밀성, 가용성을 저해하는 행위를 가능한 한 실시간으로 탐지하여 관리자에게 경고 메시지를 보내주고 대응하는 시스템 내부 사용자의 오, 남용 탐지 및 방어 가능 실행단계 데이터 수집 단계, 데이터 가공 및 축약 단계, 침입분석 및 탐지 단계, 보고 및 대응 단계 종류 탐지 방법 규칙기반 침입탐지(지식기반 / 오용 침입탐지) 시스템 로그, 네트워크 입력정보, 알려진 침입방법, 비정상적인 행위 패턴 등의 특징을 비교하여 탐지하는 방법 기존의 침입방법을 데이터베이스에 저장 새로운 공격이나 침입 방법이 출현하였을 경우에는 그에 맞는 공격 패턴을 생성하여 추가 기존의 공격 패턴을 정확하게 유지하고 있다면 비정상 행위 탐지 방법보다 False-Positive 확률을 감소시킬 수.. 2023. 5. 17. 26. 네트워크 기반 공격의 이해 네트워크 기반 위협 많은 공격 지점, 공유, 시스템의 복잡성 수동적 공격 스니핑, 도청 능동적 공격 재전송 공격, 변조, Dos/DDos, 세션 하이재킹 네트워크 기반 보안위협 및 대응책 DoS Dos 시스템의 사용을 방해하는 공격 방식 단일 컴퓨터를 통해 공격하는 경우 TCP SYN Flooding Attack 3-Way Handshaking 과정에서 Half-Open 연결 시도가 가능하다는 취약점을 이용한 공격 SYN 패킷을 송신하지 않은 TCP가 SYN+ACK 패킷을 수신하면, RST 패킷을 회신하여 연결설정 작업중단을 요청하고, RST 패킷을 수신한 서버는 연결설정 과정을 중단하고 연결 테이블의 자료구조를 해제한다. 그러나 위조 IP주소가 너무 바쁘거나 사용하고 있지 않는 IP 주소인 경우, RS.. 2023. 5. 16. [7주차-1] 게시글 페이징 기능 만들기 게시판도 만들었으니 이제 게시글 페이징 기능도 만들어볼 것이다. 페이징 기능이 없게 된다면 게시글이 많아졌을 때 스크롤해서 내려야 한다. 그래서 한 페이지에 10개씩 넣어서 페이징을 할 것이다. 먼저 게시글을 10개씩 묶어서 출력해 주는 작업이다. 기존에 있던 board.php를 수정했고 limit를 이용해서 10개씩 출력되게 변경하였다. GET을 이용하여 page값을 받아올 것이고(값이 없으면 1로 할당, 값이 있으면 그 값을 가져온다.) 한 페이지에 들어갈 게시글의 개수를 10개로 정해줬고 $start_topic_num으로 페이지마다 처음 나오는 게시글을 정해준다. $page값이 0,1,2... 이런 식으로 증가하면 1번, 11번, 21번... 이런 식으로 게시글 번호가 지정된다 limit는 1이 아.. 2023. 5. 15. 25. 네트워크 기반 프로그램 활용 ping 접속하려는 원격 호스트가 정상적으로 운영되고 있는지를 확인하는 진단 목적으로 사용 ICMP 타입 중에서 Echo Request(Type 8) 타입을 지정하여 ICMP 패킷을 전송하고 Echo Reply(Type 0) 패킷을 수신 traceroute 종단 노드 사이에 있는 여러 중계 노드 각 구간에 대한 네트워크 상태를 관리하기 위한 명령어 패킷의 TTL값을 하나씩 증가시켜 보낸다 목적지에 도착할 때까지 패킷을 전송하고 마지막 패킷에는 사용불가능한 포트번호(33434)를 붙여서 보낸다. Unreachable Port라는 ICMP 메시지를 받으면 trace가 목적지에 도달했음을 알 수 있게 된다. 우연히 도달하는것을 방지하기 위해 3개의 UDP 패킷을 보낸다. 결과에서 응답시간이 * 로 표시되는 경.. 2023. 5. 14. XSS 2 지난번엔 Stored XSS를 정리했다. Stored XSS는 서버에 스크립트를 저장하는 방식이므로 광역으로 시전 할 수 있다. 단점으로는 공격대상을 지정할 수 없고, 기록과 흔적이 남는다는 것이다. 그렇다면 스크립트를 서버에 저장하는 것이 아닌 값을 다시 받아오는 방법은 어떨까 이러한 방법으로 reflected XSS가 있다. 1) Reflected XSS reflected XSS는 말 그대로 반사시킨다. 입력값을 받으면 그것을 다시 출력시켜준다. 대표적으로는 검색창, 아이디 중복 검사가 있다. 게시글을 검색하면 '@@@@'에 대한 검색결과 이런 식으로 값을 다시 받아온다. 아이디 중복 검사를 하면 '@@@'은 사용가능한 아이디입니다.라고 값을 다시 받아온다. reflected XSS는 이용자의 요청에.. 2023. 5. 13. 24. 네트워크 관리 네트워크 5대 관리 기능 계정 관리 어떤 활동에 의해 소비되는 자원에 관한 모든 정보를 관리 구성 관리 네트워크 구성원들 사이의 관계와 상태를 보여줌 성능 관리 시스템의 성능에 관한 정보를 수집하고 분석 장애 관리 제대로 동작하지 않는 네트워크의 요소를 찾아내어 문제점을 해결 보안 관리 데이터 링크를 유지보수하고 보안 행위를 기록해 두는 것 SNMP 보통 호스트인 관리자는 보통 라우터나 서버인 에이전트의 집단을 제어하고 감시 프로토콜은 응용 수준에서 설계 에이전트의 상태를 확인하는 등 주기적으로 정보를 수집할 때는 폴링을 사용 에이전트에서 이벤트가 발생한 경우 트랩을 통해 관리자에 인터럽트를 건다. 인터넷에서의 관리는 SMI, MIB, SNMP의 협동 작업이다. SNMP 객체(변수)의 상태(값)를 읽고 .. 2023. 5. 12. [6주차-4] CSS 적용시키기 2 아직 적용시키지 않은 게시글 읽기, 쓰기, 수정, 검색 기능에 CSS를 적용시켰다. 임의로 작성한 게시글을 읽었다. 게시글 수정 페이지다. 수정된 게시글이 10번에 있다. 새로운 게시글을 작성했다. 게시글 검색 페이지다. 간단한 페이지인데 CSS적용시키기가 너무 힘들었다. 간단한 틀을 잡아놓고 나머지 기능을 개발해야겠다. 2023. 5. 11. 이전 1 2 3 4 5 6 7 8 ··· 11 다음
