[도서 정리] 52. 크로스 사이트 리퀘스트 포저리(CSRF) - 보안의 기본 52. 크로스 사이트 리퀘스트 포저리(CSRF) - 보안의 기본 -크로스 사이트 리퀘스트 포저리(Cross Site Request Forgery: CSRF)는 웹 페이지에 대한 요청(리퀘스트)을 위조(포저리)함으로써 ‘정당한 인증 완료 이용자’로 위장하여 처리를 실행하는 공격 수법이다. -이 공격 수법의 특징으로 공격자는 사용자를 공격함에 있어 정당한 인증 사용자로 위장하기 때문에 인증을 돌파할 필요가 없다는 점에 있다.복잡하고 견고한 비밀번호는 보안 대책이 되지 못한다. * CSRF 는 상당히 무섭다. -CSRF 는 인증이 필요한 중요한 기능(비밀번호 변경, 결제, 게시판 글쓰기 등)을 노린다.CSRF 에서는 사이트에 대한 요청(리퀘스트)이 공격자로부터가 아니라 모르는 사이에 공격의 발판이 된 정식 이.. 2019. 12. 1. [android] Chrome Custom Tabs - 기존에 특정 web page 를 보여주기 위해서는 external browser 에 의존하거나 internal WebView 를 활용하는 방법만 있었다.external browser 는 많은 기능을 support 하며 state 를 share 한다는 장점이 있지만, context switch 적 성격이 강하며 customize 하기 어렵다.internal WebView 의 경우 반대로 context switch 적 성격이 약하고, customize 하기는 쉽지만, state 를 share 하지 못하고, standard 를 맞춰 support 하기 어렵워 많은 공수가 든다는 단점이 있다. external browser (chrome) 만큼의 호환성을 갖춘 “Custom Tabs” 라는 것이 suppor.. 2019. 1. 26. Efficient Android Threading #11 AsyncQueryHandler 를 이용한 콘텐트 프로바이더 접근 Efficient Android Threading #11 AsyncQueryHandler 를 이용한 콘텐트 프로바이더 접근 이 글은 Efficient Android Threading 의 일부 내용만 발췌한 내용입니다.자세한 내용은 책을 구입해서 보세용. 13.1. 콘텐트 프로바이더에 대한 간략한 소개 -AsyncQueryHandler 는 ContentProvider 에서 비동기적 CRUD 작업 처리를 전문으로 하는 유틸 클래스이다.작업은 별도 스레드에서 실행되고, 결과가 사용 가능할 때는 콜백이 시작하는 스레드에서 호출된다.AsyncQueryHandler 클래스는 UI 스레드에서 CP 로 작업을 떠넘기는데 사용되고, UI 스레드는 백그라운드 태스크가 완료되면 결과를 수신한다. 13.2. 콘텐트 프로바이더.. 2018. 3. 27. [보안] 웹 해킹 원리와 방어. 보안, 웹 해킹 원리와 방어 방화벽, 백신을 설치해도 웹 해킹은 당한다!! - HTTP protocol 은 개방형이라 일반 방화벽에서 차단하지 않는다.- 방화벽에서 outgoing 패킷에 대한 제한이 대부분 설정되어 있지 않다.- 정상적인 웹 접속을 가장하는 경우 발견이 어렵다.- 백도어등의 프로그램도 백신의 패턴에 없다면 검출되지 않는다.- php, asp, jsp 등의 웹쉘을 이용하여 뚫을 수 있다.- swf, 이미지 파일 감염의 경우도 있다. 웹 해킹의 종류와 기법 1. Injecting Malicious DataURL 로 전송되는 중요한 데이터를 변조하여 오작동을 유발한다.- Hidden Field Manipulation : Hidden Field 를 통해 특정 값을 웹 어플리케이션으로 전달.- .. 2014. 1. 25. [PHP Tutorial] 문자열 연산과 정규 표현식 PHP Tutorial, 문자열 연산과 정규 표현식 ======= 문자열 다듬기 trim(), ltrim(), rtrim() ( rtrim 은 chop 과 같다. ) =======문자열 정돈 nl2br()\n 을 또는 로 변환시킨다. =======대소문자 바꾸기 strtoupper()strtolower()ucfirst() 문장의 처음이 알파벳이면 그것만 대문자ucwords()각 단어의 첫 알파벳을 대문자로 =======데이터베이스 저장 위한 문자열 다듬기 addslashes()stripslashes() php 설정에 따라서 자동으로 \ 를 추가해주는 경우도 있긴 하다.설정의 magic_quotes_gpc 에 의해 제어된다.여기서 gpc 는 GET, POST, Cookie 의 앞글자.get_m.. 2013. 11. 11. 반응형 이전 1 다음
