Paros 설치 실행파일 오류가 뜨면 Paros 프로그램 우 클릭 후 속성을 들어가서 대상을 변경한다. 이때 jdk-8u261-windows-i586.exe 프로그램이 pc에 설치되어 있어야 한다. 대상을 javaw.exe위치로 변경한다. ※”위치” : 따옴표가 없으면 인식을 하지 못한다. //기본위치 : C:\ProgramFiles (x86)\Java\jdk1.8.0_261\bin Paros 사용 환경 만들기 익스플로러를 들어간 후 도구 - 인터넷 옵션 - 연결 - LAN설정 포트는 알려지지 않은 포트번호를 사용한다. ※사용이 끝난 후에는 프록시 설정을 풀어주도록 한다. 인터넷 안됨. 위에서 프록시 설정을 했다면 Paros를 실행시킨다. Tools - Options - Local proxy 를 들어가서..
인터넷의 이해 1. 웹 프로토콜(HTTP) - 통신절차 - HTTP Request - HTTP Response - 프록시 툴을 이용한 HTTP분석 (Paros:데이터 변조 프로그램) 동작원리 : 사용자는 웹 브라우저를 통해 주소 입력 시 웹 브라우저에는 요청한 페이지가 로딩된다. stateless의 문제점 -> 동일한 클라이언트의 모든 요청에 매번 새로운 연결/해제의 과정 거쳐야 하므로 오버헤드 발생 = 개선 : 설정된 시간만큼 HTTP는 서버와 연결을 유지한 채 그 시간 안의 새 요청은 기존의 연결을 사용하는 방식으로 해결 *HTTP Request -> HTTP Response 응답코드 404 - Not Found (요청한 페이지 없음) 500 - Internal Server Error (문법적인 오류..
웹 취약점 및 시큐어코딩 점검기준 1) OWASP(Open web application security project) http://www.owasp.org OWASP Foundation | Open Source Foundation for Application Security OWASP Foundation, the Open Source Foundation for Application Security on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software. owasp.org - 전 세계 기업, 교육기관 및 개인이 만들어가는 오픈 소스 어플리..
SQL Injection 정의 - DB서버에서 실행되는 SQL문에 악의적인 코드를 추가,삽입하여 권한이 없는 사람이 정보를 획득하거나 데이터를 삭제, 수정하는 공격기법 - 악의적으로 데이터가 저장된 DB서버에 전달하는 SQL문을 변조함으로써 정보의 유출, 인증우회, 데이터수정, 삭제 등의 일을 수행하게 하는 웹해킹 기법 sql = "select * from member where userid='"&userid&"'" '위 문장에서 인젝션이 가능하게 하는 문장, ID와 PWD를 한번에 비교하면 인젝션이 가능함 ↓↓↓↓ sql = "select * from member where userid='"&userid&"' and pwd='"&pwd&"'" id : Anything password : Anything..
