본문 바로가기

Cookie5

[도서 정리] 52. 크로스 사이트 리퀘스트 포저리(CSRF) - 보안의 기본 52. 크로스 사이트 리퀘스트 포저리(CSRF) - 보안의 기본 -크로스 사이트 리퀘스트 포저리(Cross Site Request Forgery: CSRF)는 웹 페이지에 대한 요청(리퀘스트)을 위조(포저리)함으로써 ‘정당한 인증 완료 이용자’로 위장하여 처리를 실행하는 공격 수법이다. -이 공격 수법의 특징으로 공격자는 사용자를 공격함에 있어 정당한 인증 사용자로 위장하기 때문에 인증을 돌파할 필요가 없다는 점에 있다.복잡하고 견고한 비밀번호는 보안 대책이 되지 못한다. * CSRF 는 상당히 무섭다. -CSRF 는 인증이 필요한 중요한 기능(비밀번호 변경, 결제, 게시판 글쓰기 등)을 노린다.CSRF 에서는 사이트에 대한 요청(리퀘스트)이 공격자로부터가 아니라 모르는 사이에 공격의 발판이 된 정식 이.. 2019. 12. 1.
[android] Chrome Custom Tabs [android] Chrome Custom Tabs https://labs.ribot.co.uk/exploring-chrome-customs-tabs-on-android-ef427effe2f4 -기존에 특정 web page 를 보여주기 위해서는 external browser 에 의존하거나 internal WebView 를 활용하는 방법만 있었다.그러나 “Custom Tabs” 라는 것이 support library 에 생겨나면서 external browser (chrome) 의 호환성을 갖추면서 internal 의 효과를 낼 수 있게 되었다. -Chrome custom tabs 를 통해 web page 를 로드하는 것은 기존의 external browser 나 WebView 에 비해 약 2배정도 빠르다... 2019. 1. 26.
Efficient Android Threading #11 AsyncQueryHandler 를 이용한 콘텐트 프로바이더 접근 Efficient Android Threading #11 AsyncQueryHandler 를 이용한 콘텐트 프로바이더 접근 이 글은 Efficient Android Threading 의 일부 내용만 발췌한 내용입니다.자세한 내용은 책을 구입해서 보세용. 13.1. 콘텐트 프로바이더에 대한 간략한 소개 -AsyncQueryHandler 는 ContentProvider 에서 비동기적 CRUD 작업 처리를 전문으로 하는 유틸 클래스이다.작업은 별도 스레드에서 실행되고, 결과가 사용 가능할 때는 콜백이 시작하는 스레드에서 호출된다.AsyncQueryHandler 클래스는 UI 스레드에서 CP 로 작업을 떠넘기는데 사용되고, UI 스레드는 백그라운드 태스크가 완료되면 결과를 수신한다. 13.2. 콘텐트 프로바이더.. 2018. 3. 27.
[보안] 웹 해킹 원리와 방어. 보안, 웹 해킹 원리와 방어 방화벽, 백신을 설치해도 웹 해킹은 당한다!! - HTTP protocol 은 개방형이라 일반 방화벽에서 차단하지 않는다.- 방화벽에서 outgoing 패킷에 대한 제한이 대부분 설정되어 있지 않다.- 정상적인 웹 접속을 가장하는 경우 발견이 어렵다.- 백도어등의 프로그램도 백신의 패턴에 없다면 검출되지 않는다.- php, asp, jsp 등의 웹쉘을 이용하여 뚫을 수 있다.- swf, 이미지 파일 감염의 경우도 있다. 웹 해킹의 종류와 기법 1. Injecting Malicious DataURL 로 전송되는 중요한 데이터를 변조하여 오작동을 유발한다.- Hidden Field Manipulation : Hidden Field 를 통해 특정 값을 웹 어플리케이션으로 전달.- .. 2014. 1. 25.
[PHP Tutorial] 문자열 연산과 정규 표현식 PHP Tutorial, 문자열 연산과 정규 표현식 ======= 문자열 다듬기 trim(), ltrim(), rtrim() ( rtrim 은 chop 과 같다. ) =======문자열 정돈 nl2br()\n 을 < /br> 또는 로 변환시킨다. =======대소문자 바꾸기 strtoupper()strtolower()ucfirst() 문장의 처음이 알파벳이면 그것만 대문자ucwords()각 단어의 첫 알파벳을 대문자로 =======데이터베이스 저장 위한 문자열 다듬기 addslashes()stripslashes() php 설정에 따라서 자동으로 \ 를 추가해주는 경우도 있긴 하다.설정의 magic_quotes_gpc 에 의해 제어된다.여기서 gpc 는 GET, POST, Cookie 의 앞글자.get_m.. 2013. 11. 11.