web:security

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

--- web:security [2015/12/16 18:17]
kwon37xi
+++ web:security [2019/07/23 23:05] (현재)
kwon37xi
@@ 줄 1: / 줄 1: @@
 ====== Web Security ======
   * https://www.owasp.org
-  * [[https://www.owasp.org/index.php/OWASP_Testing_Project|OWASP Testing Project - OWASP]]
+  * [[https://www.owasp.org/index.php/OWASP_Testing_Project|OWASP Testing Project - OWASP]] [[http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010%20Korean.pdf|한국어판]]
+  * https://github.com/OWASP/Top10/
+  * [[https://cheatsheetseries.owasp.org/|OWASP Cheatsheets]]
 ===== CSRF =====
   * [[http://ko.wikipedia.org/wiki/%EC%82%AC%EC%9D%B4%ED%8A%B8_%EA%B0%84_%EC%9A%94%EC%B2%AD_%EC%9C%84%EC%A1%B0|CSRF]]
+  * 다른 도메인에 대해 Javascript 로 POST를 날리는 것은 불가능하다. 하지만 ''<form action="http://someotherserver.com">
+'' 처럼 ''<form>'' 태그를 사용하는 것은 가능하다. 이를 통해 사용자가 Form 을 직접 누르게 유도할 수 있다.
   * 사용자가 로그인한 사이트에 대해, <img> 태그등으로 요청을 날리는 이메일이나 웹페이지로 이동하도록 유도하는 방식.
   * 서버 내용변경 액션이 GET방식으로 돼 있을 경우 매우 취약하다. 변경 요청은 항상 POST 사용할 것.
   * 가능하면 변경 요청 전에 토큰을 생성해서 토큰 비교 방식을 사용하는 것도 좋다.
+  * [[http://www.egocube.pe.kr/Translation/Content/asp-net-web-api/201402030001|egocube - 보안: 크로스 사이트 요청 위조(Cross-Site Request Forgery) 공격 방지하기]] : Web Form과 Cookie에 각각 위조 방지 토큰을 넣어, 요청이 왔을 때 이 둘을 맞춰보는 방식.
+  * [[https://security.stackexchange.com/questions/97825/is-cors-helping-in-anyway-against-cross-site-forgery|csrf - Is CORS helping in anyway against Cross-Site Forgery? - Information Security Stack Exchange]]
+  * [[https://stackoverflow.com/questions/11423682/cross-domain-form-posting|html - Cross Domain Form POSTing - Stack Overflow]]
 ===== Clickjacking =====

web/security.1450259266.txt.gz · 마지막으로 수정됨: 2015/12/16 18:17 저자 kwon37xi