끄적끄적 끄적끄적

1. 공백 문자 우회 1) Line Feed (\n) - 커서(캐럿)를 다음 줄(현재 위치에서 바로 아래줄)로 이동시키는 개행 문자 - URL Encoding: %0a - ex) no=1%0aor%0aid='admin' 2) Tab (\t) - 커서를 한 tab만큼 이동시키는 문자 - URL Encoding: %09 - ex) no=1%09or%09id='admin' 3) Carrage Return (\r) - 커서(캐럿)를 줄의 맨 앞(왼쪽)으로 이동시키는 개행 문자 - URL Encoding: %0d - ex) no=1%0dor%0did='admin' 4) 주석 (/**/) - ex) no=1/**/or/**/id='admin' 5) 괄호 () - ex) no=(1)or(id='admin') 6) 더..

[크로스 사이트 스크립팅(XSS) 공격] XSS 공격이란, 공격자가 악의적인 스크립트 코드를 웹 애플리케이션에 삽입한 후, 사용자의 웹 브라우저에서 해당 코드가 실행되도록 하는 공격 기법이다. 즉, 서버의 취약점을 이용하여 클라이언트를 공격하는 방식으로, 자바 스크립트를 이용하여 세션 쿠키를 탈취할 수 있다. XSS 공격의 종류로는 Reflected XSS 공격과 Stored XSS 공격이 있다. 자바 스크립트 (Java Script) 웹 어플리케이션에서 사용되는 언어 중 하나 HTML이 텍스트, 이미지 등의 정적인 내용을 표시해주는 언어라면, 자바 스크립트는 이벤트와 같은 동적인 기능을 구현해주는 언어이다. 구현 방법: XSS 공격 자바 스크립트 코드 // 원격지에서 쿠키를 탈취 // hacker.co..

[SQL Injection - WHERE 구문 우회, UNION 공격] SQL 인젝션이란, 데이터베이스에 전송되는 SQL 쿼리문을 조작하여 데이터를 변조하거나, 허가되지 않은 정보에 접근하는 공격이다. 주로 개인정보를 빼낼 때 많이 사용되는 기법이다. 정상적인 웹 요청 및 응답에서는, 사용자가 ID를 입력하면 서버는 SQL 쿼리문을 통해 데이터베이스에 접근하여 해당 ID가 있는지 검색하고, 정보가 있으면 검색 결과를 사용자에게 전송한다. 이때의 SQL 쿼리문은 아래와 같다. $id = $_REQUEST['id']; $query = "SELECT name, email FROM users WHERE id = '$id';"; 그러나 만약 ID 입력칸에 1' or '1'='1을 입력한다면, WHERE문의 조건이..

[WWW (World Wide Web)] WWW(World Wide Web)은 URL, HTML, HTTP로 이루어져 있다. 1. URL (Uniform Resource Locator) 네트워크 상의 자원의 위치(경로)를 나타내는 규약 통신규칙(프로토콜)://인터넷 호스트 주소/경로 이름으로 나타낸다. ex) https://news.naver.com/main/main.nhn?mode=LSD&mid=shm&sid1=105 ① ② ③ ④ ① 사용중인 프로토콜 정보를 나타낸다. 웹 서버는 http와 https를 주로 이용한다. ② 현재 접속 중인 웹 서버의 주소를 나타낸다. 즉, IP나 도메인 정보이다. ③ 보통 파일 디렉토리를 나타내고, 여러가지 소스 파일로 구성되어 있다. (※ 파일 디렉토리 경로 전체가 ..