1. 크로스 사이트 스크립팅(XSS) - 함정을 파둠. 사용하려는 화면과 동일한 화면을 보여주어 로그인 하는 사용자의 개인정보를 탈취 - 쿠키탈취. javascript로된 ... 를 넣으면 쿠키를 뺏을수 있다함 2. sql 인젝션 전송하는 sql을 바꾸는것, get방식일 때 조심해야 하는듯 3. os 커맨드 인젝션 쉘 스크립트 임의로 실행 하던지 파라미터 조작해서 실행시키는거 4. http 헤더 인젝션 공격자가 response 헤더 필드에 개행 문자 등을 삽입해서 임의의 response헤더 필드나 바디를 추가하는 수동적 공격 http 리스폰스 분할 공격 : http 헤더 인젝션을 응용한 공격으로, 삽입하는 만자열에 %0D%0A%0D%0A 이런식으로 개행문자를 나란히 보내서 http 헤더와 바디를 나누는 ..
http의 보안문제 때문에 https를 사용한다. https는 ssl의 껍질을 덮어쓴 https다 ssl은 공개키 암호화 방식을 사용한다 * 공개키 암호화 서로 다른 두개의 키를 사용. 한쪽은 비밀키라 부름, 다른한쪽은 공개키라고 부른다. 공개키 암호화는 암호를 보내는 측이 상대의 공개키를 사용해 암호화를 한다. 상대는 자신의 비밀키를 사용해 복호화를 한다. * https는 하이브리드 암호 시스템 키를 안전하게 교환하는 데는 공개키 암호화가 좋지만, 처리속도가 늦음 따라서 각각의 방식을 조합해서 통신함. 키를 교환하는 곳에서는 공개키 암호를 사용하고 그후의 통신에서 메세지를 교환하는 곳에서는 공통키 암호를 사용한다. * 공개키 암호의 문제점 공개키가 진짜인지 아닌지 가릴수 없음. 그래서 CA인증기관과 그..
request 결과를 반환하는 코드 1xx - 처리중 2xx- 성공 200 - 성공 201 - 성공했으나 no contents 206 - partial content, 부분적 리퀘스트 3xx - 리다이렉트 301 - moved permanently, request 가 정상적으로 처리를 종료하기 위해 브라우저 측에서 뭔가 처리가 필요함..(주소 확인하기) ex. 북마크 : 다른 url로 변경하시오 302 - found, 301 이랑 비슷, 새로운 uri 가 할당 되어 있기 때문에 그 uri를 참조해 주길 바란다는 뜻 ex. 북마크 : 잠시 url이 변경되었음 일시적 303 - see other, request 에 대한 리소스가 다른 uri에 있어서 get 메소드를 사용해서 얻어야 한다는 뜻 302랑 같은 ..