Moon Blog

DBMS 웹 서비스는 데이터 정보를 데이터베이스 저장하고, 이를 관리하기 위해 DBMS(DataBase Management System)을 사용함, DBMS는 다수의 사람들이 동시에 데이터베이스에 접근할 수 있고, 원하는 데이터를 조회할 수 있게 도와줌 DBMS는 관계형과 비관계형으로 분류된다. 관계형은 행과 열의 집합인 테이블 형식으로 데이터를 저장함 Ex) MySQL, MariaDB, PostgreSQL, SQLite 비관계형은 테이블 형식이 아닌 키-값(key-value) 형태로 값을 저장함 Ex) MongoDB, CouchDB, Redis 관계형 DBMS를 조작하기 위해서 SQL(Standard Query Language)를 사용 SQL은 관계형 DBMS의 데이터를 정의하고 질의, 수정 등을 하기..

CSRF CSRF(Cross Site Request Forgery)는 교차 사이트 요청 위조로 임의 이용자의 권한으로 임의 주소에 HTTP 요청을 보낼 수 있는 취약점을 의미함 공격자는 임의 이용자의 권한으로 서비스 기능을 사용해 이득을 취할 수 있게 됨 Ex) 이용자의 계정으로 임의 금액을 송금해 금전적인 이득을 취하거나 비밀번호를 변경해 계쩡을 탈취하고, 관리자 계정을 공격해 공지사항 작성 등으로 혼란을 야기할 수 있음 CSRF 공격에 성공하기 위해서는 공격자가 작성한 악성 스크립트(HTTP 요청 보내느 코드)를 이용자가 실행해야 함 메일을 보내거나 게시판에 글을 작성해 이용자가 이를 조회하도록 유도하는 방법으로 이를 활용함 - 이미지를 불러오는 태그 or 웹 페이지에 입력된 양식을 전송하는 태그를 ..

XSS XSS(Cross-Site-Scripting)는 클라이언트 사이드 취약점 중 하나로, 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에서 해당 스크립트를 실행할 수 있음. 해당 취약점을 통해 특정 계정의 세션 정보를 탈취하거나 해당 계정으로 임의의 기능을 수행할 수 있음 - XSS 종류 Stored XSS XSS에 사용되는 악성 스크립트가 서버에 저장되고 서버의 응답에 담겨오는 XSS Reflected XSS XSS에 사용되는 악성 스크립트가 URL에 저장되고 서버의 응답에 담겨오는 XSS 주로 Click Jacking 또는 Open Redirect 등 다른 취약점과 연계하여 사용 DOM-based XSS XSS에 사용되는 악성 스크립트가 URL Fragment에 삽입되는 XSS..

SOP (Same Origin Policy, 동일 출처 정책) SOP는 브라우저의 보안 메커니즘으로, 클라이언트 입장에서 가져온 데이터를 악의적인 페이지에서 읽을 수 없도록 함 브라우저는 인증 정보로 사용될 수 있는 쿠키를 브라우저 내부에 보관하는데 이용자가 웹 서비스에 접속할 때, 브라우저는 해당 웹 서비스에서 사용하는 쿠키를 HTTP 요청에 포함시켜 전달함 즉, 브라우저는 웹 리소스를 통해 간접적으로 타 사이트에 접근할 때도 인증 정보인 쿠키를 함께 전송하는 특징을 가짐 이 특징 때문에 악의적인 페이지가 클라이언트의 권한을 이요할 경우 정보 유출과 같은 보안 위협이 생길 수 있는 요소가 됨 SOP의 Origin 구분 방법 Origin은 브라우저가 가져온 정보의 출처를 의미함 Origin은 Protoc..