💻CS/정보보안7 해킹 기초 - XSS 공격 ( Cross Site Scripting)2 - Reflected XSS XSS 공격자가 웹서버에 악의적인 스크립트를 저장하고 이를 사용자가 사이트를 이용하다가 악성 스크립트를 실행시키게 되는 것 Reflected XSS Reflected XSS는 Stored방식과 달리 서버에 스크립트를 저장하지 않습니다 스크립트를 즉시 만들어 실행시키며 브라우저 단에서 차단되는 경우가 많습니다 예를 들어 버튼을 누르면 input태그가 업데이트 되는 기능이 있습니다 이 input 박스에 스크립트를 넣고 버튼을 누르면 스크립트가 강제실행 됩니다 2022. 4. 15. 해킹 기초 - SQL Injection sql 삽입 공격 2 SQL Injection SQL Injection 이란 악의적인 사용자가 임의의 SQL 문을 주입하고 실행되게 하여 데이터베이스가 비정상적인 동작을 하도록 조작하는 행위 입니다. 인젝션 공격은 공격이 비교적 쉬운 편이고 공격에 성공할 경우 큰 피해를 입힐 수 있는 공격입니다. SQL Injection으로 DB공격 원리: 한번에 두 개의 SQL문을 실행시켜 원하는 동작을 DB에 명령합니다 SELECT * FROM user WHERE uid = ' ~ ' ; 위 문장에 id1'; UPDATE empolyee SET salary=99999999 WHERE uid=1;-- 문장을 추가하면 SELECT문과 UPDATE문 모두 실행됩니다 다만 요즘 DB에서는 한번에 두 개의 쿼리문을 실행시킬 수 없도록 기본으로 설.. 2022. 3. 8. 해킹 기초 - SQL Injection sql 삽입 공격 1 SQL Injection SQL Injection 이란 악의적인 사용자가 임의의 SQL 문을 주입하고 실행되게 하여 데이터베이스가 비정상적인 동작을 하도록 조작하는 행위 입니다. 인젝션 공격은 공격이 비교적 쉬운 편이고 공격에 성공할 경우 큰 피해를 입힐 수 있는 공격입니다. String SQL Injection 1) SQL문장을 파악하기 위해 고의적으로 SQL 에러를 발생시켜 줍니다 ex)SELECT * FROM user WHERE name = ' Input data '; ~ 에 "를 넣으면 SELECT * FROM user WHERE name = ' ' '; 가 되어 구문오류를 일으키고 에러화면을 띄울 수 있습니다 에러화면이 나타난다면 테이블명은 user이고 name컬럼 있다는 사실을 알게 되겠습니다.. 2022. 3. 7. 이전 1 2 3 다음 반응형