전체 글140 CSP(Content-Security Policy) 콘텐츠 보안 정책(Content-Security policy)은 신뢰할 수있는 웹 페이지 컨텍스트에서 악의적 인 콘텐츠 실행으로 인한 크로스 사이트 스크립팅, 클릭 재킹 및 기타 코드 삽입 공격을 방지하기 위해 도입 된 컴퓨터 보안 표준이다. 웹에서 사용하는 컨텐츠(이미지,스크립트 등등)에 대한 규칙 같은거라 생각하면 된다. SOP(Same Origin Policy)와 유사하게 차단한다는 점에서 비슷하지만, CSP의 경우 웹 사이트가 직접 룰을 적용해서 사용하게 된다. CSP에 사용되는 대표적인 헤더들이 있는데 바로 Content-Security-Policy : W3C에서 지정한 표준헤더, 대부분 이걸 사용 X-Content-Security-Policy : Firefox/IE 구형 브라우저에서 사용되는 .. 2019. 12. 31. SOP(Same-Origin-Policy) 지난 웹 방화벽 우회 블로깅때 어떤분이 웹 보안 정책의 CSP/SOP에 대해 블로깅을 해달라하셔서 ^^;; 이번 시간은 웹 보안 정책중 하나인 SOP에 대해 그리고 SOP를 우회하는 DNS Rebinding Attack에 대해 알아보도록 하겠습니다~ㅎㅎ.. 저도 이부분은 깊게 공부하진 않아 혹시나 잘못된 내용이 있으면 답글 부탁 드립니다 ^*^ 목차 1. Same-Origin-Policy이란?? 2. Same-Origin-Policy 쓰는 이유 3. DNS Rebinding Attack 1. 동일-출처 정책(same-origin policy) 출처(origin)에서 로드된 문서나 스크립트가 다른 출처 자원과 상호작용하지 못하도록 제약하는 정책이다. 여기에서 같은 출처의 기준은, 두 페이지의 프로토콜, 포.. 2019. 12. 26. 운영체제 메모리 영역 운영체제 메모리 구조에 대해서 알아보자. OS 메모리 구조에는 2가지 영역으로 나누는데 바로 유저 영역, 커널 영역이다. 그런데 왜 2영역으로 나뉘어져 있을까? 시스템 운영에 필요한 메모리, 그리고 운영체제가 커널 영역에 올라가 있는데 만약 사용자가 운영체제가 올라가 있는 커널 영역에 마음대로 접근할 수 있다면…? 시스템이 안정적으로 운용될 수 없을것이다. 그렇기 때문에 사용자가 함부로 커널 영역에 접근할 수 없도록 메모리를 유저영역과 커널영역을 나누어 사용하는 것이다. 나누는 크기는 운영체제마다 다르고, 설정에 따라 영역의 크기를 조정할 수도 있다는 점. 유저 영역 유저영역에는 4가지로 나눠지는데 코드영역, 데이터영역, 힙영역, 스택 영역으로 구분이 된다. 1. 코드영역 프로그램의 코드가 올라가는 영역.. 2019. 12. 24. 웹 방화벽 우회기법 1. 기본적인 우회 기법 1) 주석처리 방법 http://victim.com/news.php?id=1+un/**/ion+se/**/lect+1,2,3..... http://victim.com/news.php?id=1+/*!union*/ /*!select*/ 1,2,3,4…. 2) 대소문자 교체 방법 * 방화벽 필터설정이 다음과 같을 때 /union\select/g http://victim.com/news.php?id=1+UnIoN/**/SeLecT/**/1,2,3... 3) 단어 대체 방법 일부 방화벽에서는 SQL 키워드를 제거하는 방식을 사용. http://victim.com/news.php?id=1+UNunionION+SEselectLECT+1,2,3-- (어떤 WAF는 소문자 "union"과 "se.. 2019. 12. 24. 이전 1 ··· 12 13 14 15 16 17 18 ··· 35 다음
