정리블로그 정리블로그

프로토콜 DoS/DDoS 공격 HTTP 특징을 이용한 웹에서 이루어지는 디도스 공격 형태 *Dos/DDos 개념 -서비스 거부 공격(DoS : Denial of Service) 공격자가 서버에 과부화가 걸리도록하여 서버가 제대로된 서비스를 제공하지 못하도록하는 공격 서버의 자원을 고갈시키는 공격임. 서버는 수용할 수 있는 클라이언트의 접속수나 네트워크 트래픽이 정해져있는데 이를 초과하도록 계속 요청을 보내는 방식 -분산 서비스 거부 공격(DDoS : Distributed Denial of Service) 공격하는 컴퓨터를 여러대로 구성한 형태. 공격자가 중간에 여러 에이전트를 감염시켜 DoS공격에 가담시키는 방식 공격자가 사전에 많은 시스템을 해킹해놔야한다. 이는 악성코드를 배포하여 감염된 PC(좀비PC..

XSS (Cross Site Scripting) 공격 자바스크립트같은 CSS(Client Side Script) 이용 모든 처리하는값을 검증해야한다. 들어오는 입력뿐만아니라 나가는 출력또한 검사하는것도 중요 종류 stored XSS : 사용자의 입력값이 DB에 저장되는 경우 입력값을 공격코드로 주었을 경우 지속적인 공격이 이루어져 매우 위험 reflected XSS : 사용자의 입력값이 저장되지 않고 그래도 나타나는 경우의 XSS 공격 삽입방식 shorten url 을 이용해서 script를 감추는 방법 대부분 사용자의 입력값에 스크립트 코드를 넣는 방식으로 진행 -JavaScript 영역에 삽입 -HTTP Request Header에 삽입 -HTTP Response Header에 삽입 -서버로 전송되는..

javascript 자바스크립트 이용 Tabnabbing 공격 window.opner 객체를 이용한 피싱사이트 공격 window.opener 객체란? 해당 페이지를 open한 페이지 윈도우 A에서 target="_blank" 속성을 가진 Anchor를 클릭 (Anchor : 하이퍼 링크를가진 태그) 윈도우B가 새창으로 열렸을때, 이때 윈도우B의 window.opener는 윈도우A가 된다. 새로 연 페이지인 윈도우B는 window.opener로 윈도우A를 제어할수있다. 자주이뤄지는 공격방식 1. 메일의 내용중 링크가 존재 >사용자가 이를 클릭 2. 윈도우B가 열리고 B는 아래의 스크립트를 실행 window.opener.location="공격자의 피싱사이트주소"; opener가 윈도우A에서 공격자의 피싱사이..