[도서 정리] 51. 크로스 사이트 스크립팅(XSS) - 보안의 기본 51. 크로스 사이트 스크립팅(XSS) - 보안의 기본 -크로스 사이트 스크립팅(Cross Site Scripting:XSS)는 한 마디로 동적 웹 페이지나 웹 앱의 취약성을 악용한 공격 수법이다.동적 웹 페이지란 사용자의 입력 내용이나 조작 내용에 따라 표시 내용이 변하는 웹 페이지이다. -크로스 사이트 스크립팅의 구조를 이해하기 위해서 가장 먼저 이해해야 할 것은 악의를 가진 공격자가 직접 여러분의 브라우저(PC)를 공격하는 것이 아니다라는 점이다. 1. 공격자는 미끼 페이지를 준비2. 사용자가 미끼 페이지에 엑세스3. 사용자가 부정한 파라미터를 포함한 링크를 클릭4. 스크립트를 포함하여, 정규 페이지에 엑세스5. 정규 페이지 웹 서버는 응답을 반환.6. 응답에 포함된 스크립트가 사용자의 브라우저에서.. 2019. 11. 30. [Django] 파이썬 웹 프로그래밍 - Django 의 핵심 기능 #1 [Django] 파이썬 웹 프로그래밍 - Django 의 핵심 기능 #1 -책을 읽으며 Remind 하는 내용, 핵심 내용, 모르던 내용을 정리한 것입니다. 예문 및 자세한 설명은 책을 구매하여 보세요~ * 4.1.1. 데이터 입력 및 수정 * 4.1.2. 필드 순서 변경하기 -테이블 데이터 변경이 아닌 테이블을 보여주는 UI 양식 변경은 admin.py 파일을 변경하면 된다.아래와 같이 순서에 대해 정의하는 admin.ModelAdmin 을 상속하는 녀석을 만들고, register 할 때 이 class 를 함께 전달하면 된다. class QuestionAdmin(admin.ModelAdmin): fields = [‘pub_date’, ‘qestion_text’].. 2016. 12. 13. [보안] 웹 해킹 원리와 방어. 보안, 웹 해킹 원리와 방어 방화벽, 백신을 설치해도 웹 해킹은 당한다!! - HTTP protocol 은 개방형이라 일반 방화벽에서 차단하지 않는다.- 방화벽에서 outgoing 패킷에 대한 제한이 대부분 설정되어 있지 않다.- 정상적인 웹 접속을 가장하는 경우 발견이 어렵다.- 백도어등의 프로그램도 백신의 패턴에 없다면 검출되지 않는다.- php, asp, jsp 등의 웹쉘을 이용하여 뚫을 수 있다.- swf, 이미지 파일 감염의 경우도 있다. 웹 해킹의 종류와 기법 1. Injecting Malicious DataURL 로 전송되는 중요한 데이터를 변조하여 오작동을 유발한다.- Hidden Field Manipulation : Hidden Field 를 통해 특정 값을 웹 어플리케이션으로 전달.- .. 2014. 1. 25. [android] jsoup library [android] jsoup library http://jsoup.org/ DOM, CSS, jquery 같은 함수들을 제공하여 HTML 을 제어할 수 있게 하는 open source library. * HTML 을 URL, file, string 으로부터 가져와 parsing 할 수 있다. * DOM traversal 이나 CSS Selector 를 이용하여 data 를 찾을 수 있다. * HTML element, attribute, text 등을 조작 가능하다. * HTML validating 에도 쓰일 수 있다. * Comment 등을 통한 cross-site scripting ( XSS ) 를 방지할 수 있다. android jsoup, android library, android open sou.. 2013. 7. 13. 반응형 이전 1 다음
