dev-minchur 님의 블로그

SQL 인젝션이란?SQL 인젝션은 사용자 입력을 제대로 검증하지 않은 웹 애플리케이션의 취약점을 악용하는 공격 기법이다. 공격자는 악의적인 SQL 코드를 삽입하여 데이터베이스를 조작하거나 민감한 정보를 탈취할 수 있다.SQL 인젝션의 위험성데이터 탈취: 공격자가 데이터베이스에서 중요한 정보를 빼낸다.데이터 변조: 데이터베이스의 데이터를 변경하거나 삭제할 수 있다.권한 상승: 공격자가 데이터베이스 관리자 권한을 획득할 수 있다.전체 시스템 장악: 심각한 경우 서버 전체를 제어할 수 있다.SQL 인젝션 공격 예시String username = "admin'; --";String password = "password";String query = "SELECT * FROM users WHERE username ..

XSS란?XSS는 웹 애플리케이션의 취약점을 이용해 악성 스크립트를 다른 사용자의 브라우저에서 실행시키는 공격이다. 이를 통해 공격자는 사용자의 세션을 가로채거나, 악성 코드 실행, 웹사이트 변조 등의 공격을 수행할 수 있다.XSS 공격의 유형반사형 XSS (Reflected XSS)사용자가 입력한 데이터가 즉시 웹 페이지에 반영되어 발생하는 공격이다.주로 URL에 포함된 악성 스크립트를 통해 이루어진다.예시: 사용자가 http://example.com/search?q=와 같은 URL을 입력하면, 웹 애플리케이션이 검색어를 그대로 출력하여 스크립트가 실행된다.저장형 XSS (Stored XSS)악성 스크립트가 서버에 저장되어 여러 사용자가 해당 스크립트를 실행하게 되는 경우이다.예시: 사용자가 게시판에 ..

CSRF란??CSRF(Cross-Site Request Forgery)란 웹 애플리케이션의 취약점을 이용해 사용자가 의도하지 않은 요청을 보내도록 하는 공격 기법이다. 공격자는 사용자가 인증된 상태를 악용하여 사용자가 원하지 않는 행동을 수행하게 만든다. 예를 들어, 사용자가 로그인된 상태에서 악의적인 웹사이트를 방문하면, 그 웹사이트가 사용자의 권한을 이용해 은행 계좌에서 돈을 송금하도록 할 수 있다.CSRF 공격 시나리오사용자가 로그인: 사용자가 웹 애플리케이션에 로그인한다.세션 유지: 로그인 후 세션 쿠키가 브라우저에 저장된다.악성 웹사이트 방문: 사용자가 다른 웹사이트를 방문한다. 이 웹사이트는 CSRF 공격 코드를 포함하고 있다.악의적인 요청 전송: 악성 웹사이트는 사용자의 세션 쿠키를 이용해 ..

🤷🏻‍♂️ 하.. 왜 이러지..???애플리케이션을 개발한 분들이라면 한번쯤 경험이 있을것 같다. 애플리케이션을 개발한 후 방화벽에서 GET,POST,PATCH,PUT,DELETE 메서드를 허용했고, SPA로 개발된 프론트페이지에 접속하여 요청을 했는데 403,405에러가 났다. 이유가 무엇일까?? CORS때문에 에러가 났을것이다..그럼 CORS가 뭐길래 이런 에러를 발생시킬까?? 한번 알아보자CORS란?CORS(Cross-Origin Resource Sharing)는 한 출처(도메인, 프로토콜, 포트)에서 실행 중인 웹 애플리케이션이 다른 출처의 리소스에 접근할 수 있도록 브라우저에서 제공하는 보안 기능이다. 웹 애플리케이션은 기본적으로 동일 출처 정책(Same-Origin Policy)에 따라 동작..