Web Security

https://www.owasp.org

OWASP Testing Project - OWASP 한국어판

https://github.com/OWASP/Top10/

OWASP Cheatsheets

CSRF

다른 도메인에 대해 Javascript 로 POST를 날리는 것은 불가능하다. 하지만 <form action=“http://someotherserver.com”> 처럼 <form> 태그를 사용하는 것은 가능하다. 이를 통해 사용자가 Form 을 직접 누르게 유도할 수 있다.

사용자가 로그인한 사이트에 대해, <img> 태그등으로 요청을 날리는 이메일이나 웹페이지로 이동하도록 유도하는 방식.

서버 내용변경 액션이 GET방식으로 돼 있을 경우 매우 취약하다. 변경 요청은 항상 POST 사용할 것.

가능하면 변경 요청 전에 토큰을 생성해서 토큰 비교 방식을 사용하는 것도 좋다.

egocube - 보안: 크로스 사이트 요청 위조(Cross-Site Request Forgery) 공격 방지하기 : Web Form과 Cookie에 각각 위조 방지 토큰을 넣어, 요청이 왔을 때 이 둘을 맞춰보는 방식.

csrf - Is CORS helping in anyway against Cross-Site Forgery? - Information Security Stack Exchange

html - Cross Domain Form POSTing - Stack Overflow

Clickjacking

OWASP AntiSamy

XSS Shell | Portcullis Labs

The Top Ten Hacker Tools of 2015

Learn to Hack Your Own Code : 자신의 애플리케이션을 해킹하도록 수련하자.