| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
- 장고
- AI Tech 4기
- QNA 봇
- 4기
- Django
- 서버
- AI Tech
- 대회
- 프로그래밍
- Naver boostcourse
- 백엔드
- sts
- Naver boostcamp
- 프로그래머스
- 파이썬
- 서블릿
- 부스트캠프
- 웹
- 백준
- 웹 프로그래밍
- 풀스택
- BOJ
- P Stage
- 레벨2
- cs50
- boostcourse
- Customer service 구현
- 구현
- 네이버
- 2021 Dev-matching 웹 백엔드 개발자
- Today
- Total
목록Web hacking/Dreamhack (2)
daniel7481의 개발일지
XSS는 클라 사이드 취약점 중 하나로, 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에 해당 스크립트를 실행하고, 사이트 이용자가 해당 페이지에 접속하면 악성 스크립트를 실행하여 계정의 세션 정보를 탈취해 임의의 기능을 수행할 수 있다. XSS 공격은 이용자가 삽입한 내용을 출력하는 기능에서 발생한다(예로 들어 로그인 한 후 아이디가 출력되는 등) 클라는 웹 서버에 리소스를 요청하고 서버로부터 받은 응답(HTML, CSS< JS)등의 웹 리소스를 시각화하여 보여주는데, 이 때 HTML, CSS, JS와 같은 코드가 포함된 게시물을 조회할 경우 이용자는 변조된 페이지를 보거나 스크립트가 실행될 수 있다. XSS 종류 Stored XSS: 악성 스크립트가 서버에 저장되고 서버의 응답에 ..
Cookie & Session
쿠키 클라이언트와 서버는 HTTP 프로토콜을 사용해 Request와 Response로 통신한다. 하지만 이러한 통신 기법에는 단점이 존재하는데, 1) Connectionless: 하나의 요청에 하나의 응답을 한 후 연결을 종료하는 것 2) Stateless: 통신이 끝난 후 상태 정보를 저장하지 않는 것 이러한 단점을 극복하기 위해 Key - Value로 이루어진 Cookie가 탄생했다. 쿠키는 서버가 클라이언트에게 한 번 발급하면 그 이후 클라에서 Request를 보낼 때마다 같이 전송한다. 우리가 흔히 보는 로그인 상태 유지나(상태 정보), 광고에서 1일간 보지 않기 등(정보 기록)이 쿠키 덕분에 쓸 수 있는 기능이라고 이해하면 편할 것 같다 세션 이러한 쿠키에서도 단점이 존재하는데, 악이적인 클라이..