editor9386 님의 블로그

글쓰기에 앞서 이 블로그는 개인이 공부한 것을 기록해 놓는 용으로 틀린부분이나 잘못된 표현이 있을 수 있습니다.문제가 틀린 부분을 발견 하면 댓글 부탁드립니다. IFrame injection은 HTML의 iframe 태그를 이용한 인젝션 공격으로 IFrame 틀 안에 원하는 콘텐츠를 집어 넣어 사용자들의 브라우저에 실행 시키는 취약점이다.     http://192.168.0.4/bWAPP/iframei.php?ParamUrl=robots.txt&ParamWidth=250&ParamHeight=250보면 URL에 iframe에 대한 설정이 살짝 보인다.   이런식으로 변수를 받아서 iframe 태그를 실행시키는것 같다.  http://192.168.0.4/bWAPP/iframei.php?ParamUrl=..

HTML Injection 이란 웹 어플리케이션의 보안 취약점 중 하나로 이름 그대로 HTML 구문을 사용하여  공격자가 악의적인 HTML 또는 javaScript 코드를 웹 페이지에 입하는 공격이다. 이를 통해 웹페이지의 동작을 방해하거나 중요한 정보를 탈취 하는 등  사용자에게  피해를 주는 공격이다.  HTML Injection의 종류 웹 애플리케이션의 입력 처리 방식에 따라 HTML 인젝션의 유형이 두 가지로 나뉜다. 1. Reflected(반사)URL에 악의적인 HTML 태그를 삽입하여 링크를 클링한 사용자의 PC에서 HTML태그가 실행 되게 하는 공격 종류Refelcted는 또 데이터를 담는 방식에 따라 GET 방식 POST 방식 두 가지 방식으로 나뉜다. 1-1 GET GET 방식은 주로 서..

서버가 클라이언트 인증을 확인하는 방식에는 대표적으로 쿠키 세션 토큰 3가지 방식이있음 쿠키 key - value 형식의 문자열 덩어리로클라이언트가 웹사이트를 방문할 경우 그 웹사이트가 사용하고 있는 서버를 통해 클라이언트의 브라우저에 설치되는 기록정보 파일이다. 각 사용자마다 브라우저에 정보를 다르게 저장하여서 쿠키값으로 고유 정보 식별이 가능하다.     1.그림과 같이 브라우저가 서버에 요청(접속)을 보내면2.서버는 클라이언트의 요청에 대한 응답을 할 때 , 클라이언트 측에 저장하고 싶은 정보를 응답하는 헤더의 쿠키에 정보를 담아서 클라이언트에게 보낸다3.이후 쿠키값을 받은 클라이언트는 요청(접속)을 할 때마다 저장된 쿠키를 요청하는 헤더에 쿠키값으로 담아서 보내고 서버는 요청 헤더에 있는 쿠키 값..

로보트 파일(robots.txt)란 웹사이트의 루트 디렉토리에 위치한 텍스트 형식의 파일로 그 내용은 웹크롤러(구글봇)에게 사이트 내에서 어떤 페이지나 콘텐츠를 크롤링 할 수 있는지 어떤 페이지는 크롤링 해서는 안되는지 규칙을 정하는 역할을 한다. 이때 이 규칙은 보편적인 웹크롤러는 지키는데  굳이 지키않아도 되고 필수는 아니다. 여기서 웹크롤러란?크롤링(crawling)은 인터넷에 있는 웹페이지나 사이트를 자동으로 방문하여 정보를 수집하는 과정을 말합니다. 보통 웹 크롤러 또는 웹 봇이라 불리는 프로그램이 웹사이트를 탐색하면서 데이터를 모으는 작업을 하고 그 데이터를 db에 저장해서검색 엔진에 검색을 할 때 연관 검색어를 출력해준다

실행sysdm.cpl       CLI 로 TABLE 생성하는 방법 USE shopDB; #테이블 내용 조회 SELECT * FROM membertbl; #SELECT 열이름 FROM 테이블 이름; # * :전부 다 SELECT memberName,memberAddress FROM membertbl; SELECT memberAddress,memberName FROM membertbl; #명령어 쓴 순서가 곧 출력 순서!! #html 보낼 때 순서가 중요!! SELECT memberName,memberAddress FROM membertbl WHERE memberName= '지윤이'; #WHERE 조건절 // 조건 열 이름 = '조건 내용' #quiz 조건절 이용해서 "한주연 |Han + 인천 남구 주안"..

2.변수#######프린트 구문 약간의 디테일을 첨가한# 프린트 서식print("안녕하세요")print("100"+"200") #문자열 더하기 문자열은 이어쓰기print(100+200)#정수+정수 = 300#c언어 형식이랑 유사한#print 문구를 풍성하게 만들어 줌print("%d"%100)# " %d " // 문자열 안에다가 정수를 넣을 때 사용print("송명건의 출근시간은 %d 시간 입니다" % 2)#문자열 형식에 나중에 원하는 형식의 데이터를 넣음print("송명건의 출근시간은",2,"시간 입니다")#문자열 속에 숫자(정수)를 넣는다print("송명건의 출근시간은 %d시간 입니다. 일주일엔 %d시간 입니다."%(2,10))#두개 이상의 데이터를 넣을떄는 %(, , , , )식으로 넣는다#여기서 ..

print("hello World")#print() : 출력해 주는 함수#출력물은 ,문자 ,숫자 ,변수 , 불 , 등등등....# ex) print("문자열")#주석 , 공백은 전처리 하지않아서 실행시에 출력되지 않는다.print(1024)#문자열은 "" 으로 감싸줘야하지만 숫자는 "" 로 감싸지 않아도 된다.#변수x=10y=20 #정수z=3.14 #실수a="송명건"b="화성"print(x)print(y+z)print(a*3)#드래그후 알트 쉬프트 e 하면 드래그 한 내용만 실행가능"""여러줄 주석처리"""'''여러줄주석처리 2'''#처음 시작할 때 들여쓰기 하면 오류난다 절대 띄워놓으면안된다#ex)# print x   #변수 선언a=100b=10#더하기 연산result = a+b#print(result..

시스템 리스타트 후 공격 해보면 http://웹사이트도메인.com/?username=1'%20or%20'1'%20=%20'1&password=1'%20or%20'1'%20=%20'1  /var/log/httpd/modsec_audiy.log에 공격 차단한 로그기록이 생성된다

--------------- https인증서 생성           -------마리아 디비