XSS란? 공격자가 스크립트로 작성된 공격코드를 삽입, 이를 사용자가 실행 시 적절한 검증 없이 실행되어 피해자의 쿠키나 세션을 탈취, 악성사이트로 리다이렉션 시킬 수 있는 공격기법 *XSS(Cross Site Script) //JavaScript가 가능한 사이트면 XSS공격이 가능하다. - 사용자로부터 입력 받은 값을 검증하지 않고 바로 실행해서 생기는 취약점 - XSS공격 시 함께 사용되는 코드에 따라 여러 가지 공격이 발생될 수 있다. ‘ XSS공격코드를 삽입해 사용자가 원치 않는 페이지로 이동 ‘ 악성코드를 감염시킴 ‘ 사용자의 정보 수집 XSS 기본개념 - 공격자가 스크립트로 작성된 공격코드 삽입, 이를 사용자가 실행시 별도 검증없이 실행되어 피해자의 쿠키나 세션을 탈취, 악성사이트로 리다이렉션..
SQL FOREIGN KEY 제약 FOREIGN KEY는 두 테이블을 함께 연결하는 데 사용되는 키입니다. FOREIGN KEY는 다른 테이블의 PRIMARY KEY를 참조하는 한 테이블의 필드 (또는 필드 모음)입니다. 외래 키를 포함하는 테이블을 하위 테이블이라고하고 후보 키를 포함하는 테이블을 참조 또는 상위 테이블이라고합니다. 다음 두 테이블을보십시오. "사람"테이블 : PersonIDLastNameFirstNameAge 1 Hansen Ola 30 2 Svendson Tove 23 3 Pettersen Kari 20 "주문"테이블 : OrderIDOrderNumberPersonID 1 77895 3 2 44678 3 3 22456 2 4 24562 1 "Orders"테이블의 "PersonID"열..
SQL PRIMARY KEY 제약 PRIMARY KEY 제약 조건은 테이블의 각 레코드를 고유하게 식별합니다. 기본 키는 UNIQUE 값을 포함해야하며 NULL 값을 포함 할 수 없습니다. 테이블에는 하나의 기본 키만있을 수 있습니다. 테이블에서이 기본 키는 단일 또는 다중 열 (필드)로 구성 될 수 있습니다. CREATE TABLE의 SQL PRIMARY KEY 다음 SQL은 "Persons"테이블이 생성 될 때 "ID"열에 PRIMARY KEY를 생성합니다. MySQL : CREATE TABLE Persons ( ID int NOT NULL, LastName varchar(255) NOT NULL, FirstName varchar(255), Age int, PRIMARY KEY (ID) ); SQL ..
[Injection Flaws] Cloumbia, Seattle, New York, Houston의 테이블을 모두 출력시키는 문제이다. Paros로 요청을 잡은 화면 ↓station부분을 수정할 것이다. 수정 : station=101 OR '1'='1'-- 입력 후 요청을 보낸다. 결과 [Log Spoofing] (CRLF Injection) CR : %0D(엔터값) , LF : %0A //로 인코딩된다. CRLF (%0D%0A) 로그파일에 스크립트를 추가하여 admin으로 로그인이 성공한 것처럼 하라 방법[윈도우 기반] : smith %0D%0ALogin Succeeded for username : admin 방법[리눅스 기반] : smith %0ALogin Succeeded for username :..
#ifdef UNICODE #define _tMyStrlen wMyStrlen #define _tMyStrcpy wMyStrcpy #else #define _tMyStrlen MyStrlen #define _tMyStrcpy MyStrcpy #endif #if 뒤에 상수, 이미 정의된 문자상수가 온다. 평가값이 0이면 다음줄부터의 내용을 건너뛰고, 아니면 처리한다. #ifdef 뒤에 나오는 식별자가 #define으로 정의가 되어있다면 처리하고, 그렇지 않으면 건너뛴다. #else 조건문인 if문의 else처럼 기능하는 조건부 컴파일의 #else이다. #endif 조건부 컴파일의 종료를 나타낸다.
/etc/sudoers 파일을 수정하여 일반 계정에 sudo, root 가능하게 하기 일반 계정에서 sudo su 명령어를 시도했으나 아래와 같이 [계정명] is not in the sudoers file. This incident will be reported. 라는 문장과 함께 실행이 되지 않았다. 이 문제를 visudo명령어로 /etc/sudoers 파일 수정을 통해 가능하게 해 볼 것이다. +vi나 vim등이 아닌 visudo를 사용하는 이유는 /etc/sudoers 파일은 쓰기 권한이 없으며, 에러가 나는것을 알려주기 때문이라고 한다. 우선 /etc/sudoers 파일은 root 권한이 있어야지 수정이 가능하므로, su 명령어를 통해 root계정으로 로그인을 한다. ++++++++++++++++..
SQL Injection공격대책 부적절한 파라미터 사용 차단(시큐어 코딩) - 파라미터내의 특수문자(‘) 및 특정 단어를 다른 문자로 변환하거나 차단 single quote(‘), back slash(\) semicolon(;), at(@), asterisk(*), Ampersand(&), Question mark(?), Select, Update, Insert , Delete, Drop, Exec, xp_ , sp_ , and , or, union 등 ASP) Replace()함수를 사용하여 특수문자(‘) 등을 일반문자열로 변환 (예) prodid = request.querystring(“productid”) prodid = replace(prodid, "'", "''“) //특수문자 제거 prodid..
