====== Web Security ======
  * https://www.owasp.org
  * [[https://www.owasp.org/index.php/OWASP_Testing_Project|OWASP Testing Project - OWASP]] [[http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010%20Korean.pdf|한국어판]]
  * https://github.com/OWASP/Top10/
  * [[https://cheatsheetseries.owasp.org/|OWASP Cheatsheets]]

===== CSRF =====
  * [[http://ko.wikipedia.org/wiki/%EC%82%AC%EC%9D%B4%ED%8A%B8_%EA%B0%84_%EC%9A%94%EC%B2%AD_%EC%9C%84%EC%A1%B0|CSRF]]
  * 다른 도메인에 대해 Javascript 로 POST를 날리는 것은 불가능하다. 하지만 ''<form action="http://someotherserver.com">
'' 처럼 ''<form>'' 태그를 사용하는 것은 가능하다. 이를 통해 사용자가 Form 을 직접 누르게 유도할 수 있다.
  * 사용자가 로그인한 사이트에 대해, <img> 태그등으로 요청을 날리는 이메일이나 웹페이지로 이동하도록 유도하는 방식.
  * 서버 내용변경 액션이 GET방식으로 돼 있을 경우 매우 취약하다. 변경 요청은 항상 POST 사용할 것.
  * 가능하면 변경 요청 전에 토큰을 생성해서 토큰 비교 방식을 사용하는 것도 좋다.
  * [[http://www.egocube.pe.kr/Translation/Content/asp-net-web-api/201402030001|egocube - 보안: 크로스 사이트 요청 위조(Cross-Site Request Forgery) 공격 방지하기]] : Web Form과 Cookie에 각각 위조 방지 토큰을 넣어, 요청이 왔을 때 이 둘을 맞춰보는 방식.
  * [[https://security.stackexchange.com/questions/97825/is-cors-helping-in-anyway-against-cross-site-forgery|csrf - Is CORS helping in anyway against Cross-Site Forgery? - Information Security Stack Exchange]]
  * [[https://stackoverflow.com/questions/11423682/cross-domain-form-posting|html - Cross Domain Form POSTing - Stack Overflow]]

===== Clickjacking =====
  * [[http://en.wikipedia.org/wiki/Clickjacking|Clickjacking]]

===== XSS =====
  * [[https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project|OWASP AntiSamy]] 

===== Hacking =====
  * [[https://labs.portcullis.co.uk/tools/xss-shell/|XSS Shell | Portcullis Labs]]

===== 참조 =====
  * [[http://www.techworm.net/2015/08/the-top-ten-hacker-tools-of-2015.html|The Top Ten Hacker Tools of 2015]]
  * [[https://dzone.com/articles/learn-to-hack-your-own-code|Learn to Hack Your Own Code]] : 자신의 애플리케이션을 해킹하도록 수련하자.