분류 전체보기(347)
-
[SQL Injection] SQL Injection 대응 방안
Prepare StatementSQL Injection을 절대적으로 방어할 수 있음 작동 원리SQL 쿼리문을 미리 컴파일 한 후 기계어로 완성된 쿼리문 안에 사용자가 입력한 데이터를 끼워넣는 방식 이점컴파일을 미리 진행하기 때문에 속도가 다소 빨라진다SQL Injection을 절대적으로 방어할 수 있다. 하지만 여전히 SQL Injection공격이 존재하는데 이유는 무엇인가? 1. Prepare Statement를 잘못 사용하는 경우물음표를 사용하여 사용자가 입력할 부분을 뚫어놓고 나머지 부분을 컴파일한 후 기다려야 하는데 이렇게 하지 않는 경우 2. Prepare Statement를 사용하지 못하는 경우order by, table name, column name에는 Prepare Statement를 사..
2024.06.07 -
[5 WEEK] SQL Injection
SQL InjectionDB를 공략하는 공격SQL 쿼리문에 공격자가 원라는 쿼리문을 주입하는(Inject) 공격 확인 방법' and '1'='1' or '1'='1 인증 우회 Brute Force무작위 대입 / 사전대입 공격 인증 건너뛰기1, 2, 3처럼 단계별로 진행되어야 하는 인증 과정이라면 1번에서 바로 3번으로 건너뛰는 등의 공격
2024.06.07 -
[4 WEEK] Burp Suite 기능
Intercept클라이언트 -> 서버 혹은 서버 -> 클라이언트로 가는 패킷을 잡아둠 History지나간 기록을 훔쳐볼 수 있음 Intruder일정 횟수를 반복해야하는 경우 편리함ex) 0000부터 9999까지 돌려야 하는 경우 RepeaterIntruder까지는 아니지만 조금의 반복이 있는 경우나, 콕정 코드를 계속 변경해가면서 테스트하고싶은 경우 유용함 DecoderEncoding되어있는 것을 Decoding 해 줌 Comparer두 개의 문자열을 비교 등등 많은 기능이 있습니다..
2024.06.06 -
[3 WEEK] LOGIN, Cookie, Session, Session ID
식별수 많은 데이터 중 특정 데이터를 찾아내는 것동일 컬럼의 타 데이터와 절대 중복되는 값이 존재해서는 안 됨ID를 PRIMARY KEY로 등록하는 것과 일맥상통해당 데이터는 타인에게 노출이 되어도 상관 없음따라서 WHERE구문에서 검색 시에 사용 고유 식별 정보해당 정보만으로 그 사람을 특정할 수 있는 정보주민등록번호같은 것이므로,. 식별과 헷갈려선 안 됨노출 절대 금지 인증특정 데이터를 자신의 것이라 주장하는 사람에게 정말 그 사람이 맞는지 판별하는 과정로그인 과정 시에 식별과 인증이 이루어 진다고 볼 수 있음 인증정보비밀번호, OTP 등 HASH일방향 함수, 복구할 수 없는 알고리즘으로 되어있음평문을 알 수 없음DB에 있는 HASH값과 사용자로부터 받음 입력값을 HASH로 변환하여 두 개의 HASH..
2024.06.06 -
[2 WEEK] Database의 구조, SQL Syntax
Database의 구조엑셀과 비슷하게 생겼음데이터를 보관하는 큰 하나의 단위여러 데이터를 저장하는 테이블이 존재 Table데이터의 그룹 Column데이터의 열 (세로줄)카테고리 Row데이터의 행 (가로줄)하나의 데이터 묶음 SQL Syntax SELECT데이터를 가져올 때 사용select [컬럼 이름] from [테이블 이름]모든 데이터를 가져오고 싶다면 *로 표기 INSERT데이터를 삽입할 때 사용insert into [테이블 이름] (컬럼 이름) value (값)모든 컬럼에 값을 넣고 싶다면 컬럼 이름을 빼고 값을 차례대로 적어넣으면 됌 SELECT ~ WHERE조건을 부여한 SELECT 구문select [컬럼 이름] from [테이블 이름] where [조건]
2024.06.06 -
[1 WEEK] Web Server, WAS, DB
Web Server정적 페이지 / 정적 리소스정해져있는 파일을 제공 WAS동적 페이지Web Server가 파일을 보고 동적 페이지로 넘겨야 할 것 같으면 WAS로 전달함WAS가 페이지를 만들어서 Web Server로 전달함 DataBase데이터베이스데이터 저장 창고
2024.06.06