잉카콜라 잉카콜라

Segfault - CSRF 2 문제 시나리오 작성입니다 사실 투표이벤트를 진행한다고 하면서 구글 폼 링크에 접속하도록 하는 것이 원래 목표였으나 현재 시간이 없어서 그냥 이곳에서 아이디를 입력하여 전송하도록 해 주었다 현재 자기 자신의 아이디를 입력함으로써 아이디와 비밀번호 모두 탈취할 수 있다 요청은 정상적으로 도착한다

Segfault - CSRF 1 문제 시나리오 작성입니다 비밀번호 클릭한 이용자들의 비밀번호를 내가 아는 비밀번호로 강제로 바꾸고 사용자의 세션정보를 획득한다 게시글을 클릭하면 위와 같이 나오고 이용자들은 24시간 동안 기다리다가 24시간 이후에 문의를 넣을 가능성이 많아진다 이용자들의 정보로 사이트에 로그인하여 내가 강제로 바꾼 비밀번호로 인증을 하여 나만의 비밀번호로 다시 바꾸든가 다른 행동을 한다

CSRF (Cross Site Request Forgery) 의 목적 이용자가 CSRF가 적용된 링크를 클릭하도록 만든 후 이용자의 정보를 이용하여 이용자도 모르게 추가적인 요청을 보내는 것이다 CSRF (Cross Site Request Forgery) 란? 웹 서비스는 쿠키 또는 세션을 사용해 이용자를 식별한다 CSRF는 누군가의 쿠키를 사용할 수 있다면, 누군가의 권한으로 웹 서비스의 기능을 사용할 수 있다는 것을 이용한다 CSRF는 임의 이용자의 권한으로 임의 주소에 HTTP 요청을 보낼 수 있는 취약점이다 CSRF의 이용 방법 비밀번호 변경하기 누군가가 내가 만들어논 URL을 클릭하고 피싱사이트에 접속을 한 뒤 로그인을 했다고 가정하자 로그인을 하면 아이디와 비밀번호가 서버로 전송이 될 것인데 ..

XSS (Cross Site Scripting) 의 목적 이용자가 XSS 이 적용된 링크를 클릭하도록 만든 후 이용자의 쿠키와 세션정보를 탈취하는 것이 목적이다 XSS(Cross Site Scripting)란? XSS는 공격자가 악의적인 스크립트를 삽입하여 사용자 브라우저에 전송하는 공격을 말한다 현재 이 글을 보고 있는 웹브라우저를 포함하여 Chrome, Safari, Wale, Firefox와 같이 다양한 웹 브라우저들은 JavaScript 코드를 작성하고 실행하는 기능이 있다 XSS는 바로 웹 브라우저의 이 기능을 이용한 공격이며 악의적인 사용자는 글을 작성할 때 JavaScript 언어를 이용하여 악성코드를 같이 작성해 놓는다 Cross Site Scripting의 약어는 CSS라고 불리는 것이 ..