xss(크로스 사이트 스크립트)에 대한 설명은 아래에 블로그 글을 참고해주세요 https://lucete1230-cyberpolice.tistory.com/23?category=840794 이 실습은 xss취약점이 존재하는 사이트에서 실습하였습니다. (직접 구축했어요) 취약점이 있다고 아무 곳에서나 실습하시면 절대! 안됩니다. 공격에 대한 설명과 개요 등 자세한 내용은 나중에 차차 bee-box와 그 외 실습들을 하며 자세히 다룰 것이기 때문에, 설명을 제외하겠습니다. 1. 사이트 구축 --> 사이트는 기본적으로 게시판기능을 가지고 있어야함. 글쓰기, 글읽기, 글목록보기. 2. php 코드 작성 대강 get방식으로 전해지는 쿠키값을 파일로 만들어 저장 할것인데, w말고 a를 써준이유는 이어서 계속 coo..

안녕하세요 오늘은 XSS와 CSRF를 알아보고 두 공격의 차이점을 알아보도록 할께요! XSS(Cross-Site Scripting)란? 크로스 사이트 스크립팅(사이트 간 스크립팅 )은 SQL injection과 함께 웹 상에서 가장 기초적인 취약점 공격 방법의 일종으로, 악의적인 사용자가 공격하려는 사이트에 스크립트를 넣는 기법을 말한다. 주로 다른 웹사이트와 정보를 교환하는 식으로 작동하므로 사이트 간 스크립팅이라고 명칭한다. 이 취약점은 웹 애플리케이션이 사용자로부터 입력 받은 값을 제대로 검사하지 않고 사용할 경우 나타나며, 공격에 성공하면 사이트에 접속한 사용자는 삽입된 코드를 실행하게 된다. 보통 의도치 않은 행동을 수행시키거나 쿠키나 세션 토큰 등의 민감한 정보를 탈취한다. 크로스 사이트 스크..

오늘은 쿠키와 세션에 차이를 알아보도록 할게요! 쿠키와 세션의 차이는 공부 하시는 분들도 가끔 헷갈릴 수 있다고 하니 확실히 짚고 넘어가도록 합시다! 쿠키와 세션은 http 프로토콜의 약점을 커버하기 위해서 존재한다. http 프로토콜은 Connectionless 하고 Stateless 하는데 Connectionless 란 클라이언트가 request(요청)를 서버에 보내면, 서버는 클라이언트에게 response(대답,응답)하고 서로 접속을 끊는 특성을 말한다. Stateless 란 접속을 끊는 순간 클라이언트와 서버의 통신은 끝나며, 상태정보는 유지되지 않는 특성을 말한다. 이 두가지 특성때문에 http는 통신을 유지하고 있을 때 낭비되는 리소스를 줄일 수 있지만, 통신을 시도 할 때마다 계속 인증을 해..