arsenic 알쓰닉?

경희대학교 장대희 교수님의 정보보호 수업을 기반으로 정리한 글입니다.실습 진행HTTP8 - XSS Vulnerability Example문제 설명주어진 웹 애플리케이션에서 XSS 취약점을 찾아 실습하는 문제Input을 넣을 때 XSS가 발생할 수 있도록 입력하여 알람창 띄우기※ 알림창을 띄우는 게 XSS가 터짐을 알 수 있는 척도이다. 문제 풀이▶ 입력할 수 있는 칸에 XSS payload 삽입 ※ XSS payload: XSS 공격에 사용되는 악성 스크립트 코드로, 주로 JavaScript로 구성되어 사용자의 브라우저에서 실행된다.▶ 사용자의 입력이 검증없이 렌더링되면서 임의의 JavaScript가 실행됨 결론사용자의 입력 값을 검증 및 이스케이프 처리를 통해 XSS 공격을 방어해야 함 (필터링 기법)..

경희대학교 장대희 교수님의 정보보호 수업을 기반으로 정리한 글입니다.HTTP 프로토콜 소개HTTP(Hypertext Transfer Protocol)란?HTTP는 인터넷상에서 데이터를 주고 받기 위한 서버/클라이언트 모델을 따르는 프로토콜로,애플리케이션 레벨의 프로토콜로 TCP/IP 위에서 작동한다. 이러한 HTTP로 보낼 수 있는 데이터는 HTML 문서, 이미지, 동영상, 오디오, 텍스트 문서 등 여러 종류가 있다.▶ TCP/IP 프로토콜 위에 있는 HTTP보안 관점에서 HTTPHTTP는 웹의 기본 프로토콜로, 많은 해킹 기법들이 HTTP를 악용한다. 때문에 HTTP를 이해하면, 웹 애플리케이션에서 발생할 수 있는 다양한 취약점(e.g, SQL Injection, XSS, CSRF 등)을 파악하고 예방..