권남

사용자 도구

사이트 도구

추적: security
web:security

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판 이전 판
다음 판 		이전 판
web:security [2012/09/20 15:10]
kwon37xi 		web:security [2019/07/23 23:05] (현재)
kwon37xi
줄 1: 줄 1:
 ====== Web Security ====== ====== Web Security ======
   * https://www.owasp.org   * https://www.owasp.org
 +  * [[https://www.owasp.org/index.php/OWASP_Testing_Project|OWASP Testing Project - OWASP]] [[http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010%20Korean.pdf|한국어판]]
 +  * https://github.com/OWASP/Top10/
 +  * [[https://cheatsheetseries.owasp.org/|OWASP Cheatsheets]]
  
 ===== CSRF ===== ===== CSRF =====
   * [[http://ko.wikipedia.org/wiki/%EC%82%AC%EC%9D%B4%ED%8A%B8_%EA%B0%84_%EC%9A%94%EC%B2%AD_%EC%9C%84%EC%A1%B0|CSRF]]   * [[http://ko.wikipedia.org/wiki/%EC%82%AC%EC%9D%B4%ED%8A%B8_%EA%B0%84_%EC%9A%94%EC%B2%AD_%EC%9C%84%EC%A1%B0|CSRF]]
 +  * 다른 도메인에 대해 Javascript 로 POST를 날리는 것은 불가능하다. 하지만 ''<form action="http://someotherserver.com">
 +'' 처럼 ''<form>'' 태그를 사용하는 것은 가능하다. 이를 통해 사용자가 Form 을 직접 누르게 유도할 수 있다.
   * 사용자가 로그인한 사이트에 대해, <img> 태그등으로 요청을 날리는 이메일이나 웹페이지로 이동하도록 유도하는 방식.   * 사용자가 로그인한 사이트에 대해, <img> 태그등으로 요청을 날리는 이메일이나 웹페이지로 이동하도록 유도하는 방식.
   * 서버 내용변경 액션이 GET방식으로 돼 있을 경우 매우 취약하다. 변경 요청은 항상 POST 사용할 것.   * 서버 내용변경 액션이 GET방식으로 돼 있을 경우 매우 취약하다. 변경 요청은 항상 POST 사용할 것.
   * 가능하면 변경 요청 전에 토큰을 생성해서 토큰 비교 방식을 사용하는 것도 좋다.   * 가능하면 변경 요청 전에 토큰을 생성해서 토큰 비교 방식을 사용하는 것도 좋다.
 +  * [[http://www.egocube.pe.kr/Translation/Content/asp-net-web-api/201402030001|egocube - 보안: 크로스 사이트 요청 위조(Cross-Site Request Forgery) 공격 방지하기]] : Web Form과 Cookie에 각각 위조 방지 토큰을 넣어, 요청이 왔을 때 이 둘을 맞춰보는 방식.
 +  * [[https://security.stackexchange.com/questions/97825/is-cors-helping-in-anyway-against-cross-site-forgery|csrf - Is CORS helping in anyway against Cross-Site Forgery? - Information Security Stack Exchange]]
 +  * [[https://stackoverflow.com/questions/11423682/cross-domain-form-posting|html - Cross Domain Form POSTing - Stack Overflow]]
  
 ===== Clickjacking ===== ===== Clickjacking =====
   * [[http://en.wikipedia.org/wiki/Clickjacking|Clickjacking]]   * [[http://en.wikipedia.org/wiki/Clickjacking|Clickjacking]]
  
 +===== XSS =====
 +  * [[https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project|OWASP AntiSamy]] 
 +
 +===== Hacking =====
 +  * [[https://labs.portcullis.co.uk/tools/xss-shell/|XSS Shell | Portcullis Labs]]
 +
 +===== 참조 =====
 +  * [[http://www.techworm.net/2015/08/the-top-ten-hacker-tools-of-2015.html|The Top Ten Hacker Tools of 2015]]
 +  * [[https://dzone.com/articles/learn-to-hack-your-own-code|Learn to Hack Your Own Code]] : 자신의 애플리케이션을 해킹하도록 수련하자.
web/security.1348121406.txt.gz · 마지막으로 수정됨: 2012/09/20 15:10 저자 kwon37xi

문서 도구

별도로 명시하지 않을 경우, 이 위키의 내용은 다음 라이선스에 따라 사용할 수 있습니다: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki