클라이언트(Client)와 서버(Server) 웹 개발 혹은 IT 분야에서 활동을 하다 보면은 클라이언트와 서버라는 단어를 한 번쯤은 듣게 된다. 간단하게 설명하자면 클라이언트는 '서비스 요청자'를, 서버는 '서비스 제공자'를 의미하며 클라이언트가 서버에 서비스를 요청하면 서버는 그에 맞는 서비스를 제공해 주는 관계로 이어져있다. 클라이언트 : 서버의 서비스를 제공받아 사용하는 사용자 혹은 장치, 프로그램 서버 : 클라이언트의 요청에 대한 응답을 서비스로 제공하는 시스템 웹 서버(Web Server) 웹 서버는 클라이언트가 웹 브라우저를 통해 웹 리소스를 요청하게 되면 이에 맞는 정적인 컨텐츠를 제공한다. 정적인 컨텐츠란 HTML, CSS, 이미지, 파일 같이 어떠한 가공처리 없이 바로바로 제공 가능한 ..

과제 목표 XSS 1~5번 문제+XSS Challenge 문제에서 XSS 공격을 통한 플레그 찾기 XSS를 이용한 쿠키 탈취 스크립트 삽입된 도메인을 admin이 요청하게 만들기 사용 도구 Burp Suite (웹 프록시 툴) https://public.requestbin.com/r/ (공격자 웹 서버 역할) XSS 1번 문제 XSS 공격 종류 : Stored XSS XSS 공격 스크립트 발동 도메인 : /notice_read.php XSS 공격 Payload 삽입 위치 : 게시글의 제목 부분 XSS Payload : 1) XSS 공격 포인트 찾기 게시글을 작성하기 위해 '글쓰기' 버튼을 클릭한다. 게시글의 제목 입력칸에 스크립트를 입력하고 내용 입력칸에 임의의 문자열을 입력 후 'create' 버튼을 ..

URL(Uniform Resource Locator) URL은 네트워크 상의 특정 웹 사이트, 파일 또는 웹 페이지의 위치를 나타내는 고유한 주소이다. 통칭 Web Address라고도 불리며 흔히들 웹 사이트의 주소정도로만 알고 있지만 URL은 웹 사이트의 주소뿐만 아니라 네트워크 상에 존재하는 모든 리소스의 위치를 나타낸다. URL은 웹 브라우저의 주소창에 직접 입력함으로써 웹 리소스에 접근할 수 있다. URL은 다음과 같이 구성되어있다. 1) 프로토콜 URL의 첫 번째 부분은 브라우저가 리소스 요청 시 사용하는 프로토콜을 나타낸다. 일반적으로 웹 사이트의 프로토콜은 HTTP(보안 X) 또는 HTTPS를 사용한다. 2) 도메인 이름 도메인은 웹 리소스를 요청하는 웹 서버를 나타낸다. 일반적으로 도메인 ..

웹 사이트(Web Site), 홈페이지(Homepage), 웹 페이지(Web Page) 웹 사이트와 홈페이지 그리고 웹 페이지는 대부분의 사람들이 자주 사용할 정도로 널리 알려져 있다. 그러나 각 단어에 대한 개념과 차이점을 알지 못한 채 사용하는 경우가 많아서 이에 대한 정리가 필요하다고 생각한다. 세 단어는 '책'에 빗대어 생각하면 쉽게 이해가 가능하다. 예를들어 요리에 대한 지식이 전무한 사람이 맛있는 음식을 만들기 위해 '음식 레시피 100선'이라는 책을 읽어 정보를 얻으려고 한다. 책을 읽기 위해 첫 페이지를 넘기면 '목차 및 개요 파트' 페이지에서 책의 전체적인 내용과 보고 싶은 음식 레시피가 적혀있는 페이지 쪽수들을 파악할 수 있다. 그리고 '갈비찜'이란 음식을 만들고 싶으면 갈비찜에 대한 ..

DOM (Document Object Model) HTML은 태그의 집합으로 이루어져 있으며 트리 구조로 객체가 형성된다. 이러한 트리 구조를 DOM(Document Object Model)이라 한다. DOM 구조에 접근하기 위해서는 Javascript와 같은 스크립트 언어를 사용해야 하며 이를 통해 DOM 구조에 요소를 추가한다거나 제거할 수 있다. DOM Based XSS DOM Based XSS는 DOM 구조에 접근하여 요소를 추가한다거나 수정하기 위해 Javascript에 악성 스크립트를 삽입하여 클라이언트 브라우저에서 악성 스크립트가 작동하게 하는 XSS 공격 중 한 종류이다. DOM Based XSS vs Reflected XSS DOM Based XSS는 Reflected XSS와 같이 동적..