공부 발자취

내가 어제 공부를 진득히 안했다는 생각이 들어서, 카페에 왔다. 오늘은 조금 더 꼼꼼히 공부해야지 XSS 취약점은 웹 리소스에 악성 스크립트가 삽입되기 때문에 발생한 취약점이다. 해당 취약점은 브라우저가 서버로부터 전달받은 컨텐츠를 신뢰한다는 점을 악용해 발생한다. 악성 스크립트를 삽입하고, 이후 이용자가 악성 스크립트가 포함된 페이지를 방문하면 스크립트가 실행되어 쿠키와 세션이 탈취 될 수 있다. 비록 SOP 보안 정책이 등장하며 이전에 비해 까다로워졌지만, 그럼에도 우회하는 다양한 기술을 통해 XSS 공격이 끊기지 않고 있다. 자바스크립트를 통해 웹 페이지를 조작하거나, 웹 브라우저의 위치를 임의의 주소로 변경할 수 있다. 때문에 자바스크립트를 좀 알아야 공격할 수 있다. new Image() : 이..

XSS XSS(cross-site scripting) 취약점은 공격자가 악의적인 스크립트를 삽입해 피해자의 쿠키 혹은 세션을 탈취할 수 있는 취약점이다. XSS 취약점의 종류는 아래와 같다. Stored 악성 스크립트가 서버에 저장되고 서버의 응답에 담겨옴 Reflected 악성 스크립트가 URL에 삽입 되고 서버의 응답에 담겨옴 DOM-based 악성 스크립트가 URL Fragment에 삽입 Universal SOP 정책을 우회 태그 삽입이 되지 않도록 함으로서 취약점을 막을 수 있다. 취약한 홈페이지의 경우 1이라는 내용이 담긴 메시지 창이 뜰 것이다. 하지만, 내가 입력한 것과는 달리 alert("1") 을 확인할 수 있다. 이는 url 인코딩을 사용한 것으로 간단하지만 효과적인 방법이다. CSRF..

안드로이드는 평생 해볼 일이 없겠다고 생각한 내가, 지금 안드로이드 공부를 하고 있고웹을 손댈 일이 없었는데, 웹해킹을 공부하려고 한다. 역시 사람 일 모른다..장고와 플라스크 둘 중 무엇을 사용해볼까 하다가 플라스크를 이용해보기로 결정. 가상머신을 하나 만들어 준 뒤, pip와 python 을 설치해준다.python3sudo apt install python3-pip 플라스크를 설치해준다.pip install flask 프로젝트를 시작하기 전에 폴더를 우선 구상해주었다. /flaskr /static /templates공식 홈페이지에 따르면 보통 이런식으로 구성하는 것 같다. static 폴더에는 javascript, css 등이 들어갈 것이고,tem..