전체 글241 [자격증 후기]20211120 SQLD 자격증 후기 몇달사이에 세번째 쓰는 자격증 후기 한달 전에 관련 자격증을 찾아보다가 우연히 알게된 데이터베이스 관련 자격증! 2021.10.24 - [자격증] - SQL 기초 배우기/ SQLD 자격증 접수 SQL 기초 배우기/ SQLD 자격증 접수 1. SQL 따라 배우기 좋은 영상 https://www.youtube.com/watch?v=vgIc4ctNFbc 2. SQL은 SQLP, SQLD라는 자격증이 존재하는데 앞의 SQLP는 전문가용 SQLD는 개발자용이다. 올해 마지막 시험인 43회 시험이 내일(25.. myungjjju.tistory.com 호기심에 검색을 했는데 시험 접수가 바로 다음날이라 덜컥 접수부터 했다. :D 순 공부는 기본 정보처리산업기사 공부했던 얇은 개념지식을 베이스로 4일을 했다. 4일동안.. 2021. 11. 20. [6주차]XSS 키로커 삽입과 대응방안 * 참고사항 XSS 시 단순한 알림창에 위협을 느끼지 못하기 때문에 버그바운티나 실제 업무에서 보고서를 작성할 떄 위험하다는 것을 직관적으로 인지시켜주기 위해서 얼마나 영향력 있는 취약점인지 보여주는 게 좋다. 작성 시 - - 1. XSS를 어떻게 잘 막을 수 있을지에 대한 의견 취합 입출력 HTML Entity 전환 필터링 White List 기반 필터링 Black List 기반 필터링 보안 라이브러리 사용 문자열 길이 제한 웹 방화벽 보안 정책 CSP Http Only 설정 2. XSS 대응방안 정석 적용가능한 모든 곳에서, 사용자의 파라미터에서 HTML 특수문자들을 HTML Entity로 표현한다. HTML Entity : = &it, > 이 Entity 를 출력시나 입력시에 적용할 수 있다. .. 2021. 11. 20. [6주차]XSS 공격 벡터와 대응방안 XSS 공격에 일반적으로 사용되는 몇가지의 백터를 알아보자. 태그: 스크립트 태그는 외부 Java script 코드를 참조하는데 사용할 수 있으므로 가장 간단한 XSS 태그이다. 공격자는 스크립트 태그 내에 악성코드를 삽입할 수 있다. Java Script 이벤트: 공격자가 사용하는 또 다른 태그인 이벤트 속성은 다양한 태그에 적용된다. "onerror" 및 "onload"와 같은 속성이 예이다. 태그: 이벤트 속성은 "body" 태그를 통해 제공되는 경우 스크립트의 소스가 될 수도 있다. 태그: 사용중인 브라우저에 따라 이 속성은 유용할 수 있따. 태그: 피싱 공격에 효과적인 이 벡터를 XSS 공격이 현재 페이지에 다른 HTML 페이지를 삽입할 수 있도록 한다. 태그: 일부 브라우저는 이 벡터를 통한 .. 2021. 11. 18. [자격증 공부]컴활 필기 IT 버팀목 강의 (2과목) 2과목 20년 2회 1. 데이터가 입력되어 있는 연속된 셀 범위를 선택하는 방법 첫번 째 셀을 클릭한 후 ++를 눌러 선택영역 확장(표의 끝까지 범위 지정) 첫번 째 셀을 클릭한 후 키를 누른 상태에서 범위의 마지막 셀을 클릭한다. 첫번 째 셀을 클릭한 후 키를 누른 후 를 눌러 선택영역을 확장한다.(블록설정) 첫번 째 셀을 클릭한 후 키를 누른 상태에서 를 눌러 선택영역을 확장한다. (떨어진) *shift: 연속된 범위 지정 ctrl: 떨어진 범위 지정 2.[A2:A6] 범위 글꼴을 굵게 지정하고 기록중지를 눌러 서식 메크로 작성을 완료하였다. 상대 참조로 기록을 켜고 [C1]을 선택해 서식매크로를 실행한 결과는? [C2:C6]영역의 글꼴 스타일이 굵게 지정된다. 3. 시나리오 요약 보고서 '호황'과 .. 2021. 11. 15. [자격증 공부]컴활 필기 IT 버팀목 강의 (1과목) 1과목 20년 2회 > 1. 펌웨어: 하드웨어와 소프트웨어의 중간 성격으로 롬에 저장. 주로 컴파일(처음에 느리지만 나중에 빨라짐, 반복명령시 사용) 방식 번역 소프트웨어의 업그레이드만으로도 성능향상이 가능하다. 2. 파일 압축 프로그램 : 파일압축을 반복한다고 크기가 줄진 않는다. 여러 개의 파일을 압축하며 하나의 파일로 생성하여 파일 관리를 용이하게 할 수 있다. 대부분의 압축 프로그램에는 분할 압축이나 암호 설정 기능이 있다. 파일 전송시간과 비용을 절약하고 디스크 공간을 효율적으로 사용할 수 있다. 3. 비밀키: 키가 1개이다. 암호화와 복호화의 속도가 빠름. 알고리즘이 단순하고 파일 크기가 작다. 사용자 증가에 따라 관리해야할 키의 수가 상대적으로 많아진다. DES RSA 4. 방화벽: 출입로를.. 2021. 11. 15. [5주차]XSS(Cross site script)를 공부해보자 + XVWA에서 실습 1. XSS 크로스 사이트 스크립트(크사)란? => 다른 취약점에 비해 우선순위가 낮다 왜냐면 서버를 향한 공격이 아닌 이용자들을 공격하는 것이기 때문. ---> 이용자의 브라우저에서 실행됨 클라이언트 스크립트를 삽입하는 공격!! -서버 측 코드 PHP, JSP, ASP - -클라이언트 측 코드 HTML, javascript - ---> 크사 발생 이유 :공격자의 스크립트가 그대로 서버에서 응답되기 때문이다. (Dom Based XSS 제외) :이용자의 입력(파라미터)이 서버에서 그대로 응답되기 때문이다. ---> 크사 : 영원한 우리의 친구 피라미터가 너무 수많이 존재하기때문에 찾으면 나옴. ---> 분류 서버에 저장: Stored XSS 서버에서 반사: Reflected XSS 클라이언트 측에서 조립.. 2021. 11. 12. [5주차]XSS(Cross-Site Scripting)이란? 0. 개념 자바스크립트: 웹 애플리케이션에서 사용되는 언어 HTML : 정적인 내용 / Java Script : 동적인 기능 구현 와 같이 구현. > 공격 ]예시 1. XSS(교차 사이트 스크립팅)의 개념 웹 애플리케이션에서 일어나는 취약점으로 OWASP Top 10에 포함되어 있다. 사이트간 스크립팅은 공격자가 취약한 응용프로그램과 사용자의 상호작용을 손상시킬 수 있는 웹 보안 취약점이다. 크로스 사이트 스크립팅 취약점은 일반적으로 공격자가 피해자 사용자로 가장하여 사용자가 수행할 수 있는 모든 작업을 수행하고 사용자 데이터에 엑세스 할 수 있게 한다. 공격자는 이로 인해 모든 기능과 데이터를 장악할 수 있다. 이는 일반적으로 브라우저 측 스크립트의 형태로 다른 사용자에게 악성코드를 보낼 때 발생한다... 2021. 11. 10. [CSS] 디자인 - 개념 참고한 블로그 사이트 정리 해당 CSS 만들때 참고한 블로그 사이트 정리 - CSS HOVER 이해하기 https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=kyujung83&logNo=220089190453 css hover 이해하기 [css hover] 오늘은 css hover에 대해서 배워보도록 하죠. 간단하니 집중해서 3분만 보자구요. css 안에 ho... blog.naver.com - 투명도 지정 https://www.codingfactory.net/10825 CSS / 배경색만 투명하게 만들기 배경과 내용의 투명도 CSS의 opacity 속성으로 요소의 투명도를 정할 수 있습니다. opacity 속성은 선택한 요소의 배경과 내용 모두를 투명하게 만듭니.. 2021. 11. 10. [CSS] 디자인 - 적용이 안될 시 우선순위 파악하기 예를들어 다음 html 코드에서 input type="password" 부분에 내가 css를 적용하고 싶을때 h3나 table로 적용되지 않고, .label로도 적용되지 않아 매우 난감했는데 password input[type="text"], input[type="password"] { border:solid 1px #6e8efb ; border-radius: 4px; padding: .3em .7em; } input시에도 안되던게 input[type="text"]로 되더라구요! 이 경우는 input시 css적용이 따로 되기 때문입니다. 같은 태그이면서 타입에 따라 완전히 모양이 달라서 각각 스타일을 지정해야하기 때문에 발생합니다. input[type=타입] { /* 스타일 내용 */ } 이와같이 따로 .. 2021. 11. 10. 이전 1 ··· 21 22 23 24 25 26 27 다음
