공부/해킹 과제21 SQL SQL 자료를 처리하는 용도로 사용되는 구조적 데이터 질의 언어 DB한테 데이터를 처리(가져와라, 수정해라, 추가해라 등)해라 하는 언어 SELECT 테이블에 있는 데이터를 조회할 때 사용하는 명령어 select [컬럼 이름] from [테이블 이름] DB는 많은양의 데이터가 들어있어서 전부 조회하지 않고 조건을 걸어준다. select [컬럼 이름] from [테이블 이름] where (컬럼이름 = 데이터) 로그인 인증 과정 로그인 인증은 식별과 인증이라는 과정이 필요하다. 식별 : 많은 데이터 중에서 특정한 데이터를 가려내는 것 / 식별정보 : ID(중복 X) 인증 : 그 사람이 맞는지 확인 / 인증정보 : PW 1) 식별과 인증 동시 진행 CASE member라는 테이블이 있고 아이디와 비밀번호를 입.. 2023. 4. 14. 인증 우회 케이스 Cookie 변조 cookie를 이용하여 로그인을 성공한 화면 쿠키를 변조하여 다른 사용자로 전환하거나 권한을 상승시킴으로써 공격하는 데 사용할 수 있고 위에 있는 로그인 화면처럼 쿠키값을 내가 원하는 대로 변경을 할 수 있다. 대표적인 공격방법은 XSS와 Cookie Sniffing을 이용한 쿠키 하이재킹이 있다. Process Jump 인증 과정을 건너뛰는 공격 간단한 페이지를 만들어봤다. 처음 페이지에 접속해서 인증을 받으려고 Auth 버튼을 눌렀다. pw를 입력하라고 하는데 우리는 모르니까 이것저것 입력해 본다. 하지만 맞을 일이 없고 url이 1, 2 순서대로 진행하는 걸 보고 3으로 바꿔본다. 3으로 변경하니까 넘어가졌다. 나는 pw를 틀렸는데 관리자 페이지로 넘어가서 코드를 알아냈다. 이처럼.. 2023. 4. 10. 로그인 인증 웹서비스는 로그인을 통해서 다양한 서비스를 제공한다. 이를 위해서 웹서버는 프로토콜과 클라이언트를 사용해서 통신을 하게 되고 로그인한 계정을 보고 그것에 맞게 서비스를 제공한다. 웹서버는 클라이언트의 인증 정보를 가지고 있는 쿠키와 세션을 이용하여 클라이언트를 구별하게 된다. 쿠키(Cookie) 클라이언트가 웹 서버에게 보내는 작은 데이터, Key와 Value로 구성되있다. HTTP에서 상태를 유지하기 위해서 쿠키를 사용하고 서버는 쿠키를 통해서 클라이언트를 식별하게된다. 만약에 클라이언트가 악의적인 마음이 있다면 쿠키 정보를 변조해서 서버에 요청을 보낼 수 있다. 이러한 과정을 쿠키 변조 라고 하고 이를 방지하기 위해서 세션을 이용한다. 세션(Session) 클라이언트가 쿠키를 변조해서 요청을 보낼 수.. 2023. 4. 7. 이전 1 2 3 다음