BOSS 8

[20 BOSS] URI, URL의 구조

URI와 URL라는 것을 많이 들어보셨을 것이다. 나는 처음에 URI가 URL의 오타인 줄 알았다. 더이상 헷갈리지않기 위해 정리를 해보려고 한다. 1. URI ( Uniform Resource Identifier ) - 웹 서버가 리소스를 고유하게 식별할 수 있도록 하는 것 - URL과 URN을 포함하는 개념 - 요즘은 URI와 URL을 혼용하여 말함 - 참고로 URN는 리소스가 어디에 위치해 있든 찾을 수 있는 방식을 뜻한다. urn으로 시작하여 콜론으로 구분하여 표현 2. URL ( Uniform Resource Locator ) - 특정 서버의 한 리소스에 대해 구체적인 위치를 서술 - http://www.naver.com 같은 우리가 흔히 알고 있는 웹사이트를 가리키는 주소를 나타내는 것이 일반..

BOSS/웹 멘토링 2020.04.25

[20 BOSS] 웹 멘토링(1) - 웹개요

인터넷 : 여러 통신망을 하나로 연결, 전 세계 컴퓨터들을 하나로 연결하는 거대한 컴퓨터 통신망 수많은 클라이언트 컴퓨터와 서버 컴퓨터, 이들로 구성된 네트워크들의 집합 - 클라이언트/서버 - TCP/IP 프로토콜을 통해 제공 여러가지 인터넷 서비스 중에서 HTTP 프로토콜을 이용하여 정보를 공유하는 통신 서비스가 있다. 월드 와이드 웹(World Wide Web) : 인터넷에 연결된 사용자들이 서로의 정보를 공유할 수 있는 공간 - WWW, W3, 웹(Web) 라고도 불림 - 인터넷 상에서 텍스트나 그림, 소리 영상 등과 같은 멀티미티어 정보를 하이퍼텍스트 방식으로 제공 - 하이퍼텍스트: 문서 내부에 또 다른 문서로 연결되는 참조를 집어 넣음으로써 웹 상에 존재하는 여러 문서끼리 서로 참조할 수 있는 ..

BOSS/웹 멘토링 2020.04.25

[금오공대 BOSS] 포렌식 멘토링(1)-디지털포렌식의 개요

포렌식이 뭘까? - 아날로그 시대에서 사용하는 범죄의 감식과 관련된 단어 - 범인의 유류품(담배 꽁초, 지문, 혈흔 등)과 범행도구(칼, 총, 등)을 수집하여 범인을 추적 그럼 디지털포렌식이 뭐지? - 디지털 기기에 남아 있는 디지털 증거물을 조사하여 사건을 규명하는 일련의 과정 - 디지털 증거물을 보존, 수집, 확인, 식별, 분석, 기록, 재현, 현출하는 것을 과학적인 방법으로 수행하는 과정 - 디지털 데이터의 특성을 보완하면서 데이터를 수집하고 분석하는 절차 또는 기술 - 디지털 포렌식의 유형: 디스크 포렌식, 라이브 포렌식, 네트워크 포렌식, 이메일 포렌식, 웹 포렌식, 모바일/임베디드 포렌식, 멀티미디어 포렌식, 소스코드 포렌식, 데이터베이스 포렌식, 안티 포렌식(스테가노그래피) 디지털 증거 - ..

BOSS/멘토링 2019.10.29

[금오공대 BOSS] 웹 멘토링(5)-XSS와 CSRF

마지막 멘토링이다.. XSS와 CSRF는 다들 많이 헷갈려하는 웹 취약점이다. 이번 기회에 나도 둘의 개념을 잘 잡고 가보려고 한다. 일단 공통점은, 쿠키만으로 인증하는 서 XSS(Cross-Site Scripthing) - 악의적인 사용자가 공격하려는 웹 사이트에 악성 스크립트를 넣는 기법을 말한다. - 공격에 성공하면, 사이트에 접속한 사용자는 삽입된 코드를 실행하게 되며, 보통 의도치 않은 행동을 수행시키거나 쿠키나 세션 토큰 등의 민감한 정보를 탈취한다. - 즉, XSS공격은 브라우저로 전달되는 데이터에 악성 스크립트가 포함되어 개인의 브라우저에서 실행되면서 해킹을 하는 것이며, 이 공격용 악성 스크립트는 공격자가 웹 서버에 구현된 웹 애플리케이션의 XSS취약점을 이용하여 서버 측 또는 URL에 ..

BOSS/웹 멘토링 2019.10.06

[금오공대 BOSS] 웹 멘토링(3)-쿠키와 세션

[수정] 20.05.11 - stateful, stateless 관련 내용 추가 쿠키가 뭔지 알려면 HTTP가 뭔지부터 알아야 할 것 같다. HTTP (HyperText Trasfer Protocol)? - Connectionless하고 Stateless하다. HTTP는 모든 사용자의 요청마다 연결과 해제의 과정을 거치면서 연결 상태를 유지하지 않는다. 물론 연결 해제 후에도 상태 정보를 저장하지 않는다. 이는 서버의 자원을 크게 절약할 수 있지만, 사용자를 식별 할 수 없어서 같은 사용자가 요청을 여러번하더라도 매번 새로운 사용자로 인식하게 한다. (Stateless한 성격) 하지만 실제로는 어떨까? 우리가 사용하는 웹사이트를 보면 로그인을 최초로 하고 나면 그 이후로부터 다시 로그인할 필요가 없는 경..

BOSS/웹 멘토링 2019.10.05

[BOSS] 웹 멘토링(2)-SQL Injection 관련 문제 풀이 (웹해킹)

18번 https://jiravvit.tistory.com/entry/%EC%9B%B9%ED%95%B4%ED%82%B9Webhackingkr-18%EB%B2%88-%ED%92%80%EC%9D%B4 [웹해킹][Webhacking.kr] 18번 풀이 18번 문제를 풀이해보겠다. 대놓고 SQL Injection문제라고 소개하고 있다. 참고로 SQL Injection이 뭔지 모르신다면 내가 쓴 글 포스팅을 참고해주시길 바란다 ㅎㅎ. https://jiravvit.tistory.com/entry/%EA%B8%.. jiravvit.tistory.com 27번 (작성 중...) 46번 -

BOSS/멘토링 2019.10.05

[금오공대 BOSS] 웹 멘토링(1)-SQL Injection

SQL Injection에 대해서 알아보자. 일단 Injection의 뜻은 뭘까? '삽입'이다. 그러면 SQL Injection의 뜻은? 'SQL을 삽입하여 공격을 한다는 뜻이다. 다시 말해서, 웹 어플리케이션의 Database에 질의(쿼리)를 하는 과정 사이에 일반적인 값 외에 악의적인 의도를 갖는 구문을 함께 삽입하여 공격자가 원하는 SQL 쿼리문을 실행하는 대표적인 웹해킹기법이다. OWASP에서 발표한 보안 취약점 TOP 10에도 XSS와 함께 들었다. 참고로 그 다음 멘토링 주제는 XSS이다 ㅎㅎ OWASP(The Open Web Application Security Project)란, 웹 어플리케이션 보안 관련 문서를 배포, 보안 취약점 진단 기준과 표준을 수립, 보안 취약점 관련 툴을 개발하는..

BOSS/웹 멘토링 2019.09.22