파일 다운로드 취약점 원리를 알아보기 앞서 절대 경로와 상대 경로부터 살펴보겠습니다 절대 경로 컴퓨터가 지정한 파일의 최초 경로를 절대 경로라고 합니다 예를 들어 hello.txt 파일을 생성할 때 이 경로가 C:\users\document\hello.txt으로 표시된다면 hello.txt 파일의 절대 경로가 됩니다 이처럼 절대 경로를 알고 있으면 파일 위치를 어디서든 접근할 수 있습니다 그러나 절대 경로가 변경되면 그 위치를 수정해야 하는 단점이 있습니다 요약 : 절대적인 기준인 최초 디렉터리(/)를 기준으로 경유한 경로를 모두 기입하는 방식 상대 경로 현재 파일의 위치를 기준으로 파일의 상대적인 경로를 표현합니다 예를 들어 hello.txt 파일이 ./musa/hello.txt 경로에 존재할 때 절대..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

SQL Injection SQL Injection은 웹 서버와 데이터베이스의 소통 언어인 SQL 언어에 악성 SQL 문을 주입시켜 데이터베이스 안에 있는 데이터를 탈취할 수 있는 공격입니다 간단한 예시를 들어 설명하자면 우리가 클라이언트를 통해 웹 서버에 로그인 요청을 보낼 때 웹 서버는 요청 정보를 DB랑 소통하기 위해 '무사'의 비밀번호 1234라는 SQL 언어로 요청합니다 그러면 DB는 '무사'의 비밀번호 1234를 찾아 맞으면 웹 서버에게 맞다고 응답하여 클라이언트에 로그인이 정상적으로 작동되게 됩니다 이때 SQL Injection은 '무사'의 비밀번호 1234라는 SQL 언어에 '무사의 비밀번호를 1111로 변경해 줘 그리고 뒤에 문자는 무시해 줘'라는 코드를 주입시킬 수 있습니다 원본 : '무..

SQL(Structured Query Language)이란 SQL은 구조화된 쿼리(query) 언어이며 데이터베이스에 데이터를 추출하고 조작하는 데 사용하는 데이터 처리 언어입니다 즉 'SQL'은 데이터베이스의 프로그래밍 언어입니다 SQL에서 사용되는 명령문은 아래 표와 같습니다 유형 명령문 DQL: Data Query Language SELECT(데이터 검색 시 사용) DML: Data Manipulation Language 데이터 조작어 - 데이터 변경 시 사용 가능 INSERT(데이터 입력) UPDATE(데이터 수정) DELETE(데이터 삭제) DDL: Data Definition Language 데이터 정의어 - 객체를 생성하거나 변경할 때 사용 CREATE(데이터베이스 객체 생성) ALTER(데..

DB - 데이터베이스 데이터베이스는 클라이언트가 요청한 데이터 정보의 조직화된 모음으로 웹 서버에 데이터를 보관하는 저장소입니다 웹 구조 때 설명한 것처럼 네이버에 로그인할 때 사용자의 로그인 정보가 네이버 웹 서버 데이터베이스에 저장된다고 보면 됩니다 🧫 데이터베이스의 정의 1. 공유 데이터(Shared data) : 어느 하나의 프로그램에 속한 것이 아니라 대다수의 사용자나 프로그램의 공동으로 공유 가능한 데이터입니다 2. 통합된 데이터(Integrated data) : 데이터가 중복되지 않는 것을 의미합니다 3. 운영 데이터(Operational data) : 데이터베이스는 업무를 수행하기 위해 지속적으로 데이터를 유지해야 하는데 이를 유지하기 위해 필요한 데이터다 4. 저장된 데이터(Stored ..

"이 내용은 절대로 악의적인 목적으로 사용돼서는 안됩니다. 발생되는 모든 책임은 자신에게 있습니다." 지난 시간에 배운 XSS 개념을 가지고 XSS GAME 사이트에 문제를 풀어봅시다 [ ↓ XSS GAME 사이트 ↓ ] XSS game Welcome, recruit! Cross-site scripting (XSS) bugs are one of the most common and dangerous types of vulnerabilities in Web applications. These nasty buggers can allow your enemies to steal or modify user data in your apps and you must learn to dispatch the xss-game..

XSS(Cross Site Scripting) 공격이란 XSS(Cross Site Scripting)은 클라이언트 사이드의 취약점으로 해커가 피해자 브라우저에 스크립트가 실행되도록 하여 사용자의 쿠키와 세션을 탈취하거나, 피싱 공격을 진행하는 것을 말합니다 간단히 설명하자면 웹 브라우저에 악성 스크립트를 삽입할 수 있는 취약점을 이용하여 피해자에 세션 및 쿠키 정보를 탈취할 수 있습니다 피싱 : 피해자를 속여 중요한 데이터를 누설하게 하고, 바이러스를 다운로드하게 되어 사이버 범죄에 노출시키도록 유도하는 것을 말합니다 XSS 공격은 사용자가 삽입한 내용을 출력하는 기능에서 발생합니다 클라이언트가 HTTP 형식으로 웹 서버에 정보를 요청하면 서버로부터 해당 정보를 HTML, CSS, JS 등의 웹 리소스를..