24년 1학기 학교공부/네트워크웹보안 (9) 썸네일형 리스트형 [NW] 네트워크 보안 개요 2024학년도 1학기 충남대학교 양희철 교수님의 기계학습 수업 정리자료입니다. [NW] Server-side Request Forgery(SSRF) 2024학년도 1학기 충남대학교 장진수 교수님의 네트워크 및 웹 보안 수업 정리자료입니다. Server-side Request Forgery (SSRF) server-side 어플리케이션이 의도하지 않은 곳으로 request를 보내게 하도록 하는 공격이다. 공격자가 타겟 웹사이트에 직접적으로 request를 보내는 것이 아니라, 공기업이나 기관과 같은 큰 서버에서 접근 가능한 사이트로 먼저 request를 보낸 후, 기관 내의 신뢰관계를 이용해서 내부에서만 사용되는 서비스로 request를 보낸다. 기관 인프라 내부에서만 사용되는 서비스로 접근할 수 있게 된다. 공격자가 접근 가능한 임의의 외부 시스템에 서버가 연결되도록 강제한다. 인증 자격증명과 같은 민감한 데이터가 유출될 수 있다. Shellshoc.. [NW] Web Clickjacking 2024학년도 1학기 충남대학교 장진수 교수님의 네트워크 및 웹 보안 수업 정리자료입니다. Iframe iframe은 여러 프레임을 겹칠 수 있거나, 투명하게 만들 수 있는 등의 특징이 있다. Overlapping iframes Transparent iframe Clickjacking Attack Attack using Transparent Iframe Attack 1 : LikeJacknig ... #like { position:absolute; top: 220px; left:700px; } ... Attack 2 : Adding a Friend Attack 3 : Sequence of Clicks #btn1 { width:50px; height:30px;} #btn2 { width: 50px; hei.. [NW] ShellShock 2024학년도 1학기 충남대학교 장진수 교수님의 네트워크 및 웹 보안 수업 정리자료입니다. Environment Variables(환경변수) 환경변수란 동적으로 명명된 값들의 집합으로, 프로세스가 실행되는 운영 환경의 일부이다. 실행중인 프로세스의 동작 방식에 영향을 미친다. Unix에서 도입되어 Microsoft Windows에서도 채택되었다. 예시로 PATH 변수가 있다. 프로그램이 실행될 때 전체 경로가 제공되지 않는 경우, 쉘 프로세스는 PATH 환경변수를 사용해 프로그램의 위치를 찾는다. 환경변수 접근 방법 프로세스가 환경변수를 얻는 방법 1. fork() 시스템 콜 fork()란 새 자식 프로세스를 생성하는 함수로, 이때 자식 프로세스가 부모 프로세스로부터 환경 변수를 상속받을 수 있다. 2... [NW] Web SQL Injection 2024학년도 1학기 충남대학교 장진수 교수님의 네트워크 및 웹 보안 수업 정리자료입니다. Summary • SQL Injection attack and how to launch this type of attacks • The fundament cause of the vulnerability? • How to defend against SQL Injection attacks? • Prepared Statement 웹 어플리케이션의 상호작용 일반적으로 웹 어플리케이션은 Browser, Web Application Server, Database 세 요소로 구성되며 위와 같이 동작한다. 사용자는 데이터베이스가 아닌 웹 서버에 직접적으로 상호작용한다. 만약 이 채널이 적절히 구현되어있지 않다면, 악성 유저가 데.. [NW] XSS (Cross-Site Scripting Attack) 2024학년도 1학기 충남대학교 장진수 교수님의 네트워크 및 웹 보안 수업 정리자료입니다. The Cross-Site Scripting(XSS) Attack XSS 공격이란 공격자가 타겟 웹사이트를 통해 희생자의 브라우저에 본인의 악성 코드를 감염시키는 공격을 말한다. 공격자는 희생자가 안전하다고 믿는 웹사이트에 악성 스크립트를 심는다. 웹사이트로부터 넘어오는 코드는 신뢰할 수 있다고 간주되므로, 페이지의 내용에 접근하거나, 변경하거나, 쿠키를 읽거나, 사용자를 대신해 요청을 보낼수도 있다. XSS 공격은 데이터베이스에 악성 스크립트가 저장되는지의 여부에 따라 Non-persistent(Reflected) XSS, Persistent(Stored) XSS로 나눌 수 있다. Non-persistent (R.. [NW] CSRF Attack 2024학년도 1학기 충남대학교 장진수 교수님의 네트워크 및 웹 보안 수업 정리자료입니다. Same-Site Request와 Cross-Site Request - Same-Site Request : 웹사이트 A의 페이지에서 웹사이트 A로 전송하는 HTTP request - Cross-Site Request : 웹사이트 A의 페이지에서 웹사이트 B로 전송하는 HTTP request 예를 들어 인스타그램 웹페이지에서 페이스북 링크를 발견하고 이를 클릭하여 페이스북으로 이동하는 경우, 인스타그램 웹페이지가 페이스북에게 HTTP request를 전송한다. 이런 경우의 request를 Cross-site Request라고 말한다. 이때 HTTP request에는 해당 request를 전송하는 브라우저의 cooki.. [NWS] VM 설치 이전 1 2 다음
