목록2025/01/07 (2)
kjh00n의 기록저장소
CSRF (Cross Site Request Forgery)● 사이트 간 요청 위조 공격● 웹 사이트에서 제공하는 기능을 신뢰된 사용자의 권한으로 요청하도록 하는 공격→ 정당한 기능을 정당한 사용자가 실행시키면 Server가 중요 정보를 변조, 생성, 삭제한다(정당한 기능을 정당하지 않은 사용자가 실행시키면 Server가 막는다)● Session Hijacking과 비슷함 → 클라이언트의 권한을 도용함● 공격대상 : Server● Server에게 요청하는 사항이 똑같아도 사용자에 따라서 Server의 응답은 다르다● 공격자를 추적하기 어렵다해커가 해야되는 일1. 요청을 정확하게 분석해야 한다★2. 요청문을 생성하기3. 클라이언트가 어떻게 요청할지 결정 (관리자가 모르게)CSRF vs XSS※CSRF도 S..
Server Side Validation 우회방법 및 필터링① str_replace (필터링)str_replace("검색할 문자열","변경 후 문자열","원본데이터");→ 원본데이터의 특정 글자를 다른 문자로 변환시켜주는 함수 str_replace("a","b","$b_cont");→ b_cont라는 내용물 안에서 a를 b로 변경하겠다DB와 F12에서의 내용 모두 필터링 후 저장되면 으로 저장되어서 태그가 자동으로 완성되어 실행이 된다.DB에 들어가면 이렇게 되어있으면 필터링이 되지만 → ● ⑤-① 필터링 while(preg_match("/"; } else { echo ""; } ?>Client Side Validation