닷컴's_IT 썸네일형 리스트형 Web Hacking 3탄 구멍난 자바스크립트 1. 시작하기 여러분들은 사용자가 입력한 값에대해 어느정도 검증을 하는지요? 사용자 값을 이것저것 따지고 여러가지 유효성을 체크할려면 아주 귀찮은 일이 아닐수 없습니다 그중에 하나가 웹브라우져에서 실행되는 자바스크립트로 체크하는 방법이 있는데 비지니스 로직이 조금 복잡할때는 자바스크립트로 도배를 하는 경우도 종종 있지요 유효성 검증하는일 저도 정~~말 싫어합니다 하지만 해야 합니다 ㅠ.ㅠ 그럼 어디까지 그 유효성을 체크해야 할까요? 자바스크립트로만 체크하면 될까요? 처음 웹프로그래밍을 할때는 저도 자바스크립트로만 입력값을 검증하면 되는줄 알았습니다 한마디로 몰랐죠 하지만 이제는 알기때문에 자바스크립트뿐만 아니라 서버쪽에서도 동일하게 체크해 주어야 합니다 사용자가 입력한 값이 얼마나 무서운지는 앞의 1탄,.. Web Hacking 2탄 파일조작 1. 시작하기해커가 하나의 웹사이트를 공격하기 위해 많은 시간을 준비한다고 했습니다그중에 가장 먼저 하는것 중에 하나가 바로 파라미터와 그 값에대한 목록 정리 입니다즉 타겟 웹사이트의 모든 URL 파라미터를 GET, POST등으로 정리를 합니다http://xxxxxxxx.com/pds/list1.php?cnum=2http://xxxxxxxx.com/pds/list2.php?cnum=2&snum=21http://xxxxxxxx.com/view.php?fnum=104591http://xxxxxxxx.com/bbs/bbs.php?table=bbs_sw_qnahttp://xxxxxxxx.com/bbs/bbs.php?f=write&table=bbs_sw_qnahttp://xxxxxxxx.com/bbs/bbs.ph.. Web Hacking 1탄 Sql Injection Web Hacking 1탄 SQL InjectionWeb Hacking 2탄 파일조작Web Hacking 3탄 구멍난 자바스크립트1. 시작하기가끔 뉴스나 방송에서 xx 사이트 해킹 당했다 라고들 많이 들어보았을 겁니다이런 뉴스를 접할때 대체 어떻게 해서 해킹이 당하는걸까? 라고들 많이 생각해 보았을 겁니다어떻게 해킹이 일어나는지 알아야 방어도 가능하기 때문에 이번 강좌는 웹해킹에 대해 알아볼 것입니다첫번재 시간으로 SQL Injection을 배울 것이며 그다음 두번째에는 파일조작으로 인한 해킹을, 그리고 마지막 시간에는 자바스크립트 조작에 대해 알아보겠습니다도표에서도 알수 있듯이 SQL Injection으로 인한 해킹이 가장 간단하고 쉽기 때문에 이를 가장먼저 알아보겠습니다SQL Injection 이란 .. 크로스 사이트 스크립트 취약점 [-脆弱點, Cross Site Scripting Vulnerability] 게시물에 실행 코드와 태그의 업로드가 규제되지 않는 경우 이를 악용하여 열람한 타 사용자의 개인용 컴퓨터(PC)로 부터 정보를 유출할 수 있는 보안 취약점. 게시판에 새 게시물을 작성하여 등록할 때와 같이 사용자의 입력을 받아 처리하는 웹 응용 프로그램에서 입력 내용에 대해 실행 코드인 스크립트의 태그를 적절히 필터링하지 않을 경우에 악의적인 스크립트가 포함된 게시물을 등록할 수 있어 해당 게시물을 열람하는 일반 사용자의 PC로부터 개인 정보인 쿠키를 유출할 수 있는 등의 피해를 초래할 수 있다. 예를 들어 글쓰기 본문에 다음과 같은 스크립트 문장을 입력했을 때 'XSS 취약점 존재' 경고창이 뜨면 스크립트가 수행된 것이므로 취약점이 있는 것이다. alert‘( XSS 취약점 존재’) ;.. 파일 업로드 취약점 [-脆弱點, File Upload Vulnerability] 게시판 등에서 스크립트 파일의 업로드 에 대한 규제가 없을 경우 이를 악용한 해커에 의해 악성 스크립트 파일이 수행될 수 있는 보안 취악점. 첨부 파일 업로드를 허용하는 홈 페이지 게시판에서 .php, .jsp 등의 확장자 이름의 스크립트 파일의 업로드를 허용할 경우에 해커가 악성 실행 프로그램을 업로드한 후에 홈 페이지 접속 방식으로 원격에서 서버컴퓨터의 시스템 운영 명령어 를 실행시킬 수 있다. 예를 들어 모든 게시판에 대해 php, php3, asp, jsp, cgi, inc, pl 등의 확장자를 지닌 파일의 업로드를 시도하여 업로드가 되면 취약점이 있는 것이다 출처: 네이버 용어사전 ================================================================.. [웹 2.0은 없다] 오래된 미래 이야기 [웹 2.0은 없다] 오래된 미래 이야기 전병국 (검색엔진마스터 대표) ( ) 2006/03/08 [Topcontent] 웹 2.0 열기가 뜨겁다. 닷컴이 지나온 긴 터널을 생각하면 모처럼의 활기가 나쁠리 없다. 미국뿐 아니라 우리나라에도 앵콜을 하는 컨퍼런스가 있는 가하면 일반 언론들까지 웹 2.0을 다루는데 가세했다. 아직은 미국 이야기지만 관련 업체에 대한 투자나 인수합병 열기도 뜨겁다. 하지만 다른 한쪽에서는 '컨퍼런스'가 최고의 수익 모델인 ‘거품 2.0(Bubble 2.0)’이라거나, 업체들이 자신을 포장하는데 써먹는 마케팅 용어일 뿐이라는 비판도 만만치 않다. 이런 갑론을박 속에서 사람들을 혼란스럽게 하는 것은 사실 아주 근본적인 질문이다. “도대체 웹 2.0이란 무엇인가?” 대답이 길어지는.. 맨아워 Man Hour 에 대해서 맨아워(Man Hour) 맨아워는 일반적으로 자동차를 비롯한 금속가공과 기계기구 제작업종 등에서 사용되며, 특히 완성차를 중심으로 자동차 부품제조업등 대부분의 자동차 관련 업종에서, 생산인력과 생산시간, 나아가서는 임금산정의 기본적인 기준으로 사용하고 있다. 맨아워란 3년 이상의 숙련자가 한시간동안 할 수 있는 작업분량 이란 의미로 사용된다. 이는 공정을 단위작업으로 나누어 작업에 필요한 인원인 공수를 산정하고 나서 단위작업의 작업표준시간을 설정하고 특별한 문제가 없이 이를 한시간 동안 수행하였을 경우 어느 정도의 분량을 할 수 있는가로 측정된다. 이때 한시간당 생산된 수량을 UPH(Unit Per Hour)라고 한다. 맨아워를 정확히 이해하기 위해서는 공수, 작업표준시간의 산정방법, 여유율의 산정방법 .. 밸런타인데이 겨냥한 e메일 웜 주의보 밸런타인데이 겨냥한 e메일 웜 주의보 밸런타인데이를 겨냥한 웜바이러스가 발견돼 사용자의 각별한 주의가 요구된다. 16일 하우리(대표 김희천)에 따르면 ‘Our Love Will Last’라는 제목으로 전파되는 이 e메일은 메일 속에 담긴 링크를 클릭하면 새 창이 뜨며 ‘withlove.exe’라는 프로그램을 실행시키도록 유도한다. 이에 감염되면 윈도 시스템 폴더에 특정 파일을 생성하며 루트키트 기능을 사용해 생성한 해당 파일을 은폐 시키고 자신의 주소록에 있는 사람에게 첨부파일 형태로 스팸메일을 대량 발송한다. 하우리 측은 올해도 기념일을 겨냥한 웜바이러스가 증가할 것으로 보고 의심되는 메일이 있다고 판단하면 바로 삭제할 것을 당부했다. 한세희기자@전자신문, hahn@etnews.co.kr ○ 신문게재일.. 이전 1 ··· 6 7 8 9 10 11 다음