웹모의해킹2 [웹모의해킹] 6. Xss(DOM) 1. Xss(DOM) 1. 개념 피해자의 브라우저가 HTML 페이지를 구문 분석할 때마다 공격 스크립트가 DOM 생성의 일부로 실행되면서 공격함. 페이지 자체는 변하지 않으나, 페이지에 포함되어 있는 브라우저 측 코드가 DOM환경에서 악성코드로 실행됨. 2. DVWA 실습 3. 대응방안 3-1. 입,출력 값 검증 및 무효화 - 스크립트 등 해킹에 사용될 수 있는 코딩에 사용되는 입력 및 출력 값에 대해서 검증하고 무효화한다. - 입력 값에 대한 유효성 검사를 미리한다. - 태그 등 위험한 문자 입력 시에 문자 참조로 필터링하고 서버에서 브라우저로 전송시 문자를 인코딩한다. 3-2. 위험 문자 인코딩 보안 2021. 7. 1. [웹모의해킹] 5. Weak Session IDs 1. Weak Session IDs 1. 정의 - 웹 애플리케이션 구현에 있어 서비스에 접근하는 사용자의 인증 값이나 세션,쿠키 성장/관리 구현에서 발생하는 취약점을 공격하는 기법 - 비 인가자의 로그인 없이 서비스 페이지에 접근하거나 관리자 페이지까지 접근할 수 있음. 2. 세션 클라이언트와 웹 세션 간 일정 시간 동안의 연결방법 3. 쿠키 웹 서버에서 생성하며 웹 브라우저에 보내어 저장하며 서버의 부가적인 요청이 있을 때 다시 서버로 보내주는 문자열의 정보 4. 세션 vs 쿠키 5. DVWA 실습 6. 대응방안 - 세션 id를 공격자가 추측하기 어렵게 랜덤 생성 알고리즘 사용 - Rails와 Django 같은 프레임 워크를 사용하여 쿠키 서명 => 쿠키 변조 방지 보안 2021. 7. 1. 이전 1 다음
