전체 글241 [홈페이지 제작]게시글 댓글 수정, 삭제 기능 게시판 글 읽기, CSS 정렬 댓글 수정 (reply_mod_ok 페이지 제작 중) 댓글 삭제 2021.12.08 - [홈페이지 만들기/PHP] - [홈페이지 제작] 홈페이지 제작 참고 사이트 [홈페이지 제작] 홈페이지 제작 참고 사이트 https://blog.naver.com/bgpoilkj/221375627800 [PHP]게시판 만들기 #12 검색 기능 ※ 2020/05/13 코드 수정 예제파일 http://developtest.org/file/board/181011_board.zip 안녕하세요. S ... blog.naver.com myungjjju.tistory.com 2021. 12. 5. [홈페이지 제작]게시글 좋아요, 좋아요 취소, 댓글 작성 기능 게시글 보기 게시글 좋아요 기능 좋아요 취소하기 댓글 작성하기 2021.12.08 - [홈페이지 만들기/PHP] - [홈페이지 제작] 홈페이지 제작 참고 사이트 [홈페이지 제작] 홈페이지 제작 참고 사이트 https://blog.naver.com/bgpoilkj/221375627800 [PHP]게시판 만들기 #12 검색 기능 ※ 2020/05/13 코드 수정 예제파일 http://developtest.org/file/board/181011_board.zip 안녕하세요. S ... blog.naver.com myungjjju.tistory.com 2021. 12. 5. [복습]CSRF 취약점 실습 ## — CSRF 토큰 검증 미흡 https://portswigger.net/web-security/csrf/lab-token-validation-depends-on-request-method Lab: CSRF where token validation depends on request method | Web Security Academy This lab's email change functionality is vulnerable to CSRF. It attempts to block CSRF attacks, but only applies defenses to certain types of requests. To ... portswigger.net 풀이 방법 1. 이메일을 일단 변경해본다. 2. Burp s.. 2021. 12. 5. [홈페이지 제작]게시판 리스트, 읽기, 수정, 삭제 기능 로그인 로그인 후 메인페이지 게시글 리스트 게시글 읽기 게시글 보기 게시글 수정 게시글 삭제 2021.12.08 - [홈페이지 만들기/PHP] - [홈페이지 제작] 홈페이지 제작 참고 사이트 [홈페이지 제작] 홈페이지 제작 참고 사이트 https://blog.naver.com/bgpoilkj/221375627800 [PHP]게시판 만들기 #12 검색 기능 ※ 2020/05/13 코드 수정 예제파일 http://developtest.org/file/board/181011_board.zip 안녕하세요. S ... blog.naver.com myungjjju.tistory.com 2021. 12. 4. [8주차]CSRF의 현재 모습 *CSRF 현재의 모습. 과거와 다르게 현재는 우회가 어렵다. 우회가 되는 경우 어떠한 조건이 있어야하고 안되는 경우는 왜인지에 대한 이해가 필요하다. *CSRF 개요 > 사용자들이 그들 스스로 의도치 않은 행동들을 (서버로의 요청) 하게하는 취약점. 브라우저에서 쿠키를 기본적으로 공유하기 때문에 발생하는 문제. > 크사와 다른점: 클라이언트 측에 특정 스크립트(코드) 실행 크사로 요청 보내도 이게 받아지느냐 아니냐는 CSRF 의 취약점 유무에 달림. >2017년 새롭게 발표된 OWASP TOP 10에서 제외되었다. *CSRF - 특정 수행 행동을 할 수 있다.(비밀번호 변경, 정보 변경, 글쓰기 등) - 세션값이 필요하다. - 예측 가능한 파라미터만 있어야한다.(옛날 비번같은게 예측 불가한 파라미터) .. 2021. 12. 3. [7주차] CSRF 개념 정리 복습 XSS 대응방안 1. HTML 특수문자 -> 엔티티! 2. White List - 기반으로 허용태그 사용 3. Black List - 악성이벤트 *CSRF (Cross site Request fo) 조사 > 스크립팅 공격이 가능하다는 전제에 가능. > 피싱을 활용한 공격. > 패스워드 변경. > 이용자의 요청을 위변조한다. *정정 1. XSS와 전혀 별개의 취약점이다. XSS 공격이 불가능해도 CSRF 취약점이 존재할 수 있다. XSS 활용하면 극대화되기 때문에 실습을 연관해서 보여줌. 그래서 비슷해보이지만 별개임. => 차이점 실행되는 페이로드가 XSS(클라이언트 측 공격) vs CSRF(서버 측 공격) 둘다 클라이언트 공격이긴 함. => 정의 공격자가 사용자의 계정으로 원치않은 요청을 하는 것... 2021. 12. 3. [7주차]CSRF(Cross Site Request Forgery)란? 1. CSRF(Cross Site Request Forgery)란? CSRF(Cross Site Request Forgery)는 사이트간의 요청 조작으로 사용자가 자신의 의지와 무관하게 attrack의 의도를 따라 행동하여 문제를 일으키는 웹 보안 취약점으로 이를 통해 공격자는 동일한 출처 정책을 부분적으로 우회할 수 있다. 피싱을 활용해 사용자 모르게 패스워드를 변경하는 등의 공격을 수행할 수 있다. 2008년 4차례 칩입해 1080만명의 개인정보를 유출시킨 옥션 해킹 사건에 사용된 공격기법이다. 2. 공격 진행 과정 예시) (1) 사용자가 사이트에 정상 접속 및 로그인 상태이다. (2) 공격자가 이때 이메일을 보내서 어떤 링크를 클릭하도록 피싱을 한다. (3) 사용자가 클릭시 접속한 웹사이트에 비밀번.. 2021. 11. 24. [홈페이지 제작]세션아이디에 대한 기본 이해 스터디 내의 워게임을 풀다가 이상한 점이 내가 세션아이디에 대한 기본 개념이 아예 없어서 문제를 푸는데 이해가 부족했다. 근데 놀랍게도 남들 다 쓰는 세션을 로그인 페이지에 구현하지 않았다는 점 : ( 쿠키는 각 사용자 컴퓨터의 웹 브라우저에 저장. 반면 세션은 서버에 저장된다. => 쿠키는 보안이 약함. 세션은 2021. 11. 24. [홈페이지 제작]아이디 중복체크 (설명 포함) 1. member.php에서 input type="button" value="중복체크" onclick="checkId()">로 버튼을 만들어 클릭 시 checkid()함수가 호출되도록 한 후 함수부분 코드를 만든다. function checkid() { var win = window.open("./checkId.php, "Idcheck", "width=500, height=300, top=200, left=800"); } 2. 여기서 윈도우 함수는 자바 코드이기 때문에 를 앞뒤에 붙여준다. 3. 여기서 var는 지역변수를 선언할 수 있는 키워드이며, win은 지역변수의 이름이라고 할 수 있다. window 함수는 새 창을 열기위해 가장 간단하게 사용할 수 있는 자바스크립트 함수이다. 기본적인 사용법은 v.. 2021. 11. 22. 이전 1 ··· 20 21 22 23 24 25 26 27 다음
