Information Security

XSS – Reflected(POST) - 웹 페이지 URL에 존재하는 파라미터에 악의적인 스크립트 코드를 입력하여 사용자가 URL을 클릭하면 파라미터에 입력한 악성 스크립트 코드가 실행되게 하는 공격이다. Level (Low) First name aaaa Last name aaaa를 입력했다. 버프 스위트에 그림 1-1에 입력한 데이터 내용의 있다. , 를 데이터를 수정해 전송했다. 그림 1-3에서 보이는 스크립트 언어 경고창이 보이는 것을 알 수 있다. Level (High) Level (High)도 스크립트를 삽입했다. Level (High)는 스크립트 언어가 그대로 노출되는 것을 알 수 있다. 대응방안 htmlspecialchars 함수를 호출하여 입력 데이터를 UTF-8로 인코딩한다. 두 번째 ..

SQL Injection(POST/Search) - POST 메서드로 HTTP 연결 요청을 보내고 있어서 다르게 URL 변수가 나타나지 않는다. php 페이지와 마찬가지로 입력란에 사용되는 변수가 취약하므로 입력란에 SQL 쿼리를 입력하면 취약점 여부를 확인할 수 있다. Level (Low) 입력란에 abcd 입력 후 아무것도 내용이 보이지 않는다. 버프스위트로 abcd’ or 1=1 # 수정 후 데이터 베이스에 전송했다. SQL Injection 쿼리문 전송 후 데이터베이스 내용을 전부 보여준다. Level (Medium) Level (Medium)은 그림 1-2처럼 내용을 수정해 전송했다. 그림 1-3과는 다르게 데이터베이스 내용이 보이지 않는 것을 알 수 있다. 대응방안 mysql_real_esca..