NIST의 국가 취약점 데이터베이스(NVD) 미국 정부도 취약점을 자체적으로 수집하고 목록화 하여 저장해 둔다. 그것이 바로 NVD이고 CVE라는 표준에 따라 정리되어 있다. 이는 버그리포트라는 이름으로 매일 최대 5개씩 본지에서도 소개되고 있다. NVD에는 약 78만 여개의 취약점이 저장되어 있으며 이는 앞으로도 계속해서 늘어날 전망이다. 표준화된 규격으로 매일 정부에서 관리하고 있어, 신뢰도가 매우 높다. https://web.nvd.nist.gov/view/vuln/search NVD - Search and Statistics Search Vulnerability Database Try a product name, vendor name, CVE name, or an OVAL query. NOTE: ..
Web Hacking/Web
XSS(Cross-Site-Scripting)란? ● XSS 는 Cross-Site-Srripting의 약자로 공격자가 웹사이트에 악성 스크립트를 삽입하여 다른 사용자 등에게 공격자가 의도한 스크립트를 실행하게 하는 공격 방법이다. ● XSS는 스크립트 언어와 취약한 코드를 공격대상으로 하며 공격의 주요 목적은 사용자의 정보를 도용하는 것이며, 로그인 입력란을 감염시켜 로그인 세부 정보와 쿠키를 탈취하는 방식으로 진행된다. 악성 소프트웨어는 사용자의 세부정보를 기록해 공격자에게 전송하고, 공격자는 해당 정보를 사용해 피해자의 계정을 제어할 수 있게 된다. ● XSS는 OWASP TOP10에 포함되어 있을정도로 자주 발생하는 공격이며 현재까지도 자주 발생하는 취약점으로 웹 해킹을 대표하는 공격이다. ● X..
동일 출처 정책 SOP(Same-Origin-Policy) 란? ● 동일 출처 정책(Same-Origin-Policy)은 어떤 출처에서 불러온 문서나 스크립트가 다른 출처에서 가져온 리소스와 상호작용하는 것을 제한하는 중요한 보안방식이다. 동일 출처 정책은 잠재적으로 해로울 수 있는 문서를 분리해, 공격받을 수 있는 경로를 줄인다. 동일 출처 정책(SOP) 의 필요성 ● 인터넷 상의 악의적인 사이트들의 공격들을 막는데 도움이된다.(ex.CSRF, XSS, Clickjacking등의 공격) Origin 이란? ● origin 은 프로토콜(Protocao,Scheme), 호스트(Host), 포트(Port) 를 합친 것으로 구성되며, 구성요소가 모두 일치해야 동일한 오리진이라고 한다. 예시 http://sam..
HTTP 프로토콜의 특징 Connectionless ( 비연결 지향) ● 클라이언트와 서버가 한번 연결을 맺고, 클라이언트의 요청(Request) 에 대해 서버가 응답(Response)을 마치면 맺었던 연결은 끊어버림 ● 장점 : 서버 자원의 절약으로 더 많은 연결이 가능 → HTTP는 불특정 다수의 통신 환경을 기반으로 설계되어 있는데, 다수의 클라이언트와 계속 연결은 유지한다면 많은 리소스가 필요하다. → 연결유지를 위한 리소스 절약이 가능 ● 단점 : 연결과 해제에 따른 오버헤드 → 서버는 연결했던 클라이언트를 기억하지 않으므로 동일 클라이언트의 요청에도 매번 새로운 연결/해제 과정을 거치게 된다. ● HTTP 1.1 버전에서 연결을 계속 유지하고, 요청에 재활용 하는 기능이 Default 로 추가..
WEB ● 인터넷을 기반으로 구현된 서비스 중 HTTP를 이용하여 정보를 공유하는 서비스를 웹(Web)이라 한다. 여기서 정보를 제공하는 주체를 웹 서버(Web Server) 정보를 받는 이용자를 웹 클라이언트(Web Client) 라고 한다. ● 여기서 HTTP란 웹상에서 서로 통신을 하기 위해 정해둔 일종의 규칙이다. 웹 서비스, 프론트 엔드와 백엔드 ● 웹 서비스는 다양한 기능을 수행하는 형태로 발전했다. 이전의 웹 서비스가 이용자가 요청하는 정보를 제공하기만 하는 수동적인 형태의 서비스 였다면, 현재는 이용자의 요청을 해석하고 가공하여 필요한 정보와 기능을 제공하는 능동형 서비스에 가깝다. ● 이러한 서비스 구조에서 이용자의 요청을 받는 부분을 프론트엔드(Front-end), 요청을 처리하는 부분..
