전체 글
-
-
-
-
-
-
[JS, PHP, MYSQL] 로그인, 로그인 우회 - 3.2Web - Security/Login 2023. 5. 10. 15:37
로그인 과정에서 입력값에 대해 검증과정을 추가해 주었다 로그인 페이지 이전에 만들어놨던 login_2 데이터베이스와 로그인페이지를 이름만 변경하였다 데이터 베이스 연결 변수명을 login_2에서 login_3으로 바꾼 것을 제외하고 달라진 건 없다 5 ~ 8 로그인페이지의 입력값을 받아오고 아이디와 비밀번호가 있다면 아래의 과정을 이어가고 없다면 로그인 실패처리한다 11 ~ 17 입력받은 아이디와 비밀번호에 대해서 검증과정을 진행한다 trim()은 문자열의 앞뒤에 있는 모든 공백 문자나 다른 문자들을 제거한다 stripslashes()는 문자열에서 백슬래시(backslash)를 제거한다 htmlspecialchars() 함수는 특수 문자를 HTML 엔티티로 변환한다 19 ~ 27 사용자 입력을 받은 SQ..
-
[JS, PHP, MYSQL] 로그인, 로그인 우회 - 3.1Web - Security/Login 2023. 5. 10. 15:32
로그인 과정에서 SQL 질의문에 대해서 검사하는 기능을 만들었다 로그인 페이지 이전에 만들어놨던 login_2 데이터베이스와 로그인페이지를 이름만 변경하였다 데이터 베이스 연결 변수명을 login_2에서 login_3으로 바꾼 것을 제외하고 달라진 건 없다 5 ~ 8 로그인페이지의 입력값을 받아오고 아이디와 비밀번호가 있다면 아래의 과정을 이어가고 없다면 로그인 실패처리한다 11 ~ 19 사용자 입력을 받은 SQL 질의문을 검증하는 단계를 추가해 줬다 완성된 SQL 질의문에서 SELECT, FROM, WHERE 단어의 개수를 구해주고 SELECT, FROM, WHERE의 개수가 모두 1개여야만 데이터베이스에 SQL 질의문을 전달하도록 한다 21 ~ 44 만약 일치하는 회원이 존재한다면 로그인 성공 페이지..
-
XSS (Cross Site Scripting) 기초 및 대응방안Web - Security/XSS & CSRF 2023. 5. 9. 14:59
XSS (Cross Site Scripting) 의 목적 이용자가 XSS 이 적용된 링크를 클릭하도록 만든 후 이용자의 쿠키와 세션정보를 탈취하는 것이 목적이다 XSS(Cross Site Scripting)란? XSS는 공격자가 악의적인 스크립트를 삽입하여 사용자 브라우저에 전송하는 공격을 말한다 현재 이 글을 보고 있는 웹브라우저를 포함하여 Chrome, Safari, Wale, Firefox와 같이 다양한 웹 브라우저들은 JavaScript 코드를 작성하고 실행하는 기능이 있다 XSS는 바로 웹 브라우저의 이 기능을 이용한 공격이며 악의적인 사용자는 글을 작성할 때 JavaScript 언어를 이용하여 악성코드를 같이 작성해 놓는다 Cross Site Scripting의 약어는 CSS라고 불리는 것이 ..