JiR4Vvit의 블로그

URI와 URL라는 것을 많이 들어보셨을 것이다. 나는 처음에 URI가 URL의 오타인 줄 알았다. 더이상 헷갈리지않기 위해 정리를 해보려고 한다. 1. URI ( Uniform Resource Identifier ) - 웹 서버가 리소스를 고유하게 식별할 수 있도록 하는 것 - URL과 URN을 포함하는 개념 - 요즘은 URI와 URL을 혼용하여 말함 - 참고로 URN는 리소스가 어디에 위치해 있든 찾을 수 있는 방식을 뜻한다. urn으로 시작하여 콜론으로 구분하여 표현 2. URL ( Uniform Resource Locator ) - 특정 서버의 한 리소스에 대해 구체적인 위치를 서술 - http://www.naver.com 같은 우리가 흔히 알고 있는 웹사이트를 가리키는 주소를 나타내는 것이 일반..

인터넷 : 여러 통신망을 하나로 연결, 전 세계 컴퓨터들을 하나로 연결하는 거대한 컴퓨터 통신망 수많은 클라이언트 컴퓨터와 서버 컴퓨터, 이들로 구성된 네트워크들의 집합 - 클라이언트/서버 - TCP/IP 프로토콜을 통해 제공 여러가지 인터넷 서비스 중에서 HTTP 프로토콜을 이용하여 정보를 공유하는 통신 서비스가 있다. 월드 와이드 웹(World Wide Web) : 인터넷에 연결된 사용자들이 서로의 정보를 공유할 수 있는 공간 - WWW, W3, 웹(Web) 라고도 불림 - 인터넷 상에서 텍스트나 그림, 소리 영상 등과 같은 멀티미티어 정보를 하이퍼텍스트 방식으로 제공 - 하이퍼텍스트: 문서 내부에 또 다른 문서로 연결되는 참조를 집어 넣음으로써 웹 상에 존재하는 여러 문서끼리 서로 참조할 수 있는 ..

마지막 멘토링이다.. XSS와 CSRF는 다들 많이 헷갈려하는 웹 취약점이다. 이번 기회에 나도 둘의 개념을 잘 잡고 가보려고 한다. 일단 공통점은, 쿠키만으로 인증하는 서 XSS(Cross-Site Scripthing) - 악의적인 사용자가 공격하려는 웹 사이트에 악성 스크립트를 넣는 기법을 말한다. - 공격에 성공하면, 사이트에 접속한 사용자는 삽입된 코드를 실행하게 되며, 보통 의도치 않은 행동을 수행시키거나 쿠키나 세션 토큰 등의 민감한 정보를 탈취한다. - 즉, XSS공격은 브라우저로 전달되는 데이터에 악성 스크립트가 포함되어 개인의 브라우저에서 실행되면서 해킹을 하는 것이며, 이 공격용 악성 스크립트는 공격자가 웹 서버에 구현된 웹 애플리케이션의 XSS취약점을 이용하여 서버 측 또는 URL에 ..

[수정] 20.05.11 - stateful, stateless 관련 내용 추가 쿠키가 뭔지 알려면 HTTP가 뭔지부터 알아야 할 것 같다. HTTP (HyperText Trasfer Protocol)? - Connectionless하고 Stateless하다. HTTP는 모든 사용자의 요청마다 연결과 해제의 과정을 거치면서 연결 상태를 유지하지 않는다. 물론 연결 해제 후에도 상태 정보를 저장하지 않는다. 이는 서버의 자원을 크게 절약할 수 있지만, 사용자를 식별 할 수 없어서 같은 사용자가 요청을 여러번하더라도 매번 새로운 사용자로 인식하게 한다. (Stateless한 성격) 하지만 실제로는 어떨까? 우리가 사용하는 웹사이트를 보면 로그인을 최초로 하고 나면 그 이후로부터 다시 로그인할 필요가 없는 경..

SQL Injection에 대해서 알아보자. 일단 Injection의 뜻은 뭘까? '삽입'이다. 그러면 SQL Injection의 뜻은? 'SQL을 삽입하여 공격을 한다는 뜻이다. 다시 말해서, 웹 어플리케이션의 Database에 질의(쿼리)를 하는 과정 사이에 일반적인 값 외에 악의적인 의도를 갖는 구문을 함께 삽입하여 공격자가 원하는 SQL 쿼리문을 실행하는 대표적인 웹해킹기법이다. OWASP에서 발표한 보안 취약점 TOP 10에도 XSS와 함께 들었다. 참고로 그 다음 멘토링 주제는 XSS이다 ㅎㅎ OWASP(The Open Web Application Security Project)란, 웹 어플리케이션 보안 관련 문서를 배포, 보안 취약점 진단 기준과 표준을 수립, 보안 취약점 관련 툴을 개발하는..